Se for um portscan coloque regras para estas flags de TCP, fazendo o bloqueio. Tem uns modelos aqui mesmo que voce bloqueio portscan.
Não adianta eu ver suas regras, pois elas não representam o problema. Você tem que monitorar e descobrir de onde vem as conexões. Use o torch e o packet snifer.