Zabránit přístupu na localhost není v principu tak těžké – stačí filtrovat odpovědi z DNS. Víte, že 127.0.0.1 (a pár dalších jako 127.0.0.2, případně varianty pro IPv6) nejsou povolené odpovědi. U lokální sítě je to horší, protože někdo může legitimně chtít udělat lokální záznam. Je trochu otázka, kam to posune DNSSEC.
A navíc dělat portscan lze i jinak:
https://github.com/aabeling/portscanV případě notebooku připojovaného do nedůvěryhodných sítí lze zkoušet browser cache poisoning, i když to už má větší prerekvizity.