Сканеры в дампе так и будут постоянно, пока не смените порт на нестандартный. Есть решения как блокировать сканеры по User-Agent, но это не панацея, т.к. много сканеров с нестандартными именами или имитируют телефоны. Просто через ACCEPT all -- МОЯ_БЕЛАЯ_СЕТЬ/24 anywhere DROP all -- anywhere anywher...