[dmitryst]

Я думаю, что достаточно разрешить нужные сервисы, заблокировать остальные порты, а также заблокировать "неправильные" пакеты (например, приходящие извне с адресом источника 192,168,1,1 - явно какой-то подвох), плюс блокировать фрагментированные пакеты. Пусть себе сканируют