circa gli scanport puoi usare denihosts, ma ahime' non e' nelle sources list, lo puoi comunque scaricare e compilare. Lo uso da sempre ed e' veramente ottimo :-)in particolare avrei necessità di riconoscere e bloccare virus, port scan, tentativi di intrusione.
ti aggiunge in /etc/hosts.deny i vari ip che cercano di fare scanport (gli puoi settare anche i tentativi) - mi sembra che hai anche la possibilita' di creare in automatico una route in modo che non puo' piu' connettersi.
Ho usato la versione per freebsd ma funziona anche con debian. Circa i virus non so come aiutarti.
Non sono sicuro, non credo che snort si limiti solo a fare logs delle connessioni.Mi sono documentato un po su snort e sembra fare al caso mio solo che da quello che ho capito non fa difesa attiva: si limita solo a "loggare" quello che avviene ma non reagisce ad esempio bloccando un certo tipo di traffico. sbaglio?
Saluti :-)