Was es manchmal nicht alles gibt.
Im Normalfall hat man die Firewall ja eh komplett zu ausser den einen oder anderen Service. Doch der eine oder andere hat den Portmapper noch rum schwirren.
Oder wie in meinem Fall, ich hatte noch ein komplettes Subnetz weiter gerouted und am anderen Ende einen Server stehen der nur eine IP verbraten hat, bedeutet die anderen IPs gehen eigentlich ins leere (eben nicht).
Da hat sich dann der Portmapper gezeigt.
Also als erstes mal den Server abscannen und schauen was da alles mit der Aussenwelt plappert:
nmap -sV (IP oder fqdn)
Wenn der port 111 (portmapper) sich zeigt sollte man diesen aus der Schußlinie nehmen. Es ist zwar keine direkte Gefahr das jemand auf Euren Server dadurch kommt, aber wie der Name DOS schon sagt, denial of service, der Server ist so beschäftigt das er mit anderen nicht mehr spricht.
Genaueres gibt es hier zu lesen: http://blog.level3.com/security/a-new-ddos-reflection-attack-portmapper-an-early-warning-to-the-industry/