меня сканируют, ккак узнать?

Intrusion detection system.

свинку на шлюзе или параллельно влепить

Snort.

что?

бегом в гугль, первой строчкой SNORT

ну и пусть себе сканируют, тебе то какое до этого дело? али страшно? так настрой всё по-человечески и спи спокойно. от сканов ещё ни кто не умирал. а снорты всякие -- это так, баловство красноглазое.

-A INPUT -m --state INVALID -j DROP

можно такое добавить

Можно мочить всех кто стучится на порты о которых заранее известно
что они не будут использоваться.

#блокируем старых ублюдков
iptables -I INPUT -m set --set BASTARDS dst -j DROP
#находим новых
iptables -I INPUT -m multiport --dports 135-139 -j SET --add-set BASTARDS

Ну и по крону чистить периодически таблицу
на всякий случай

Некоторые сервисы при их сканировании выдают в свои логи характерные сообщения, например,
sendmail сообщит о нулевом соединении (соединение с 25 портом было октрыто, а потом ничего не произошло);
pop3d запишет в лог соединение с IP UNKNOWN.

А в общем, если у вас не установлен ни snort, который уже назвали,
ни вот раньше еще был portsentry, ни какая другая система оповещения,
а текущие логи вы не шерстите скриптами на нестандартные записи,
то вы никак не узнаете о сканировании,
если оно особо не навязчивое.