от скана TCP может помочь следующее, по крайней мере, nmap (ver 3.30)ничего не находит:
100 allow tcp from any to any established
200 allow tcp from ${myhost} to any setup
300 allow tcp from ${some_hosts} to ${myhost} [ports_list] setup
400 deny tcp from any to any

строка 300, если необходим доступ из вне. Соответственно с ${some_hosts} довольно успешно сканить все равно можно будет.

Как другой вариант, поставить snort (или аналог), добавить скрипт к нему, который бы при обнаружении скана делал deny в правила ipfw. Только тут проблемы могут возникнуть.

>От самого процесса сканирования ты не закроешься, так и будут засирать твой
>канал. А от последствий файрволом. Под фрю: ipfw %)

Про файрвол ,это ясно и как бы даже не обсуждается. Но к сожалению нмап всё же выдаёт  список прослушиваемых портов,а вот именно с этим я и борюсь(хотя я уже добился того,что win32 сканер LanGuard ,и многие примерно такие вываливаются по таймауту и говорят Host seems to be down %))).

Вот и хотелось бы,чтобы то же самое говорил нмап (хотя он и сейчас уже достаточно долго сканирует). По возможности хотелось бы обойтись возможностями тюнинга самой системы , а всякий софт во вторую очередь.

Ещё хотелось бы уточнить что защищаемый сервер не является каким-то роутером или ещё чем-то очень "суперважным" (всего лишь фтп,сквид,хттп,почта) , просто встала задача максимально
"плотно" защитить сервер.
Спасибо

>net.inet.tcp.blackhole:1
>net.inet.udp.blackhole:1
>nmap не любит.

стоит :) первым делом выставлено.