Respuesta larga, consulte TL; DR a continuación.
No creo que sea un problema de Nmap, sino un problema de reenvío de puertos. Me imagino que está escaneando desde la red local (si ese no es el caso, ignórelo).
El reenvío de puertos a menudo no funciona desde la red local, por una razón muy simple. Supongamos que esta es su red:
(A)--+
| ( )
|---(Rpr--R--Rpu)---( Internet )---(X)
| ( )
(B)--+
A y B son dos computadoras en su red local, ambas con direcciones IP privadas, R es su enrutador (que hace el NAT y el reenvío de puertos), con una dirección pública (Rpu) y una privada (Rpr) en su LAN . X es una computadora en Internet, con una dirección pública.
Ha configurado el reenvío de puertos en R para que los paquetes que llegan a Rpu: 4245 (esto significa que la dirección IP Rpu, puerto 4245) se reenvíen a A: 4245.
Cuando X envía un paquete a Rpu: 4245, llega a R, que traduce la dirección de destino a A: 4245 y enruta el paquete a A. Cuando A responde, envía un paquete de A: 4245 a X. Esto el paquete se envía a R ya que su destino está fuera de la LAN y R es la puerta de enlace. R cambia la fuente de A: 4245 a Rpu: 4245, y enruta el paquete, que llega a X como un paquete desde Rpu: 4245 a X, todo está bien.
Ahora, cuando B envía un paquete a Rpu: 4245, lo envía a R (porque Rpu está fuera de la LAN y R es el enrutador). Supongamos que R hace el reenvío de puertos de todos modos, establece el destino en A: 4245 y enruta el paquete (de B a A: 4245) a A. Cuando A responde, envía un paquete de A: 4245 a B. Y esta vez no enviará el paquete a R sino directamente a B, ya que B está en la LAN. El paquete llega a B como un paquete de A: 4245 a B, y por lo tanto no puede verse como la respuesta al paquete de B a Rpu: 4245, la dirección de origen no coincide.
Esto podría funcionar si R también cambiara la dirección de origen a Rpr (o Rpu, o cualquier dirección fuera de la LAN), porque en ese caso, A enviaría las respuestas a R y R podría traducir las direcciones a la inversa, pero eso es Probablemente no sea el caso.
TL; DR. Ejecute sus pruebas desde una computadora fuera de su LAN con: nmap -sP4245 -p 4245 x.x.x.x
( -sP4245
le indica a Nmap que use un paquete SYN en el puerto 4245 durante la exploración de ping). Desde su LAN, solo puede verificar que el puerto esté abierto al escanear (con las mismas opciones) su dirección privada, pero eso deja la configuración de reenvío de puerto sin probar.