Eu diria para inicialmente para baixar o valor tcp.closed. Talvez aumentar o ip.portrange no sysctl. Por curiosidade, seu conjunto de regras e' muito grande ? Qual a regra que esta dando match ?