Как разрешить сканеру ссылок гулять только наружу?

если целенаправленно сошлются на localhost и т.п., то сканер пойдет гулять по внутренней сетке, причем на произвольный порт, который укажут.

Вот тут и проверять, а не городить костыли там где это не нужно.

Где тут и что проверять?

Я бы отрезолвил адрес и проверил, что он публичный, а не попадает в приватные диапазоны. А вообще вроде как можно указать через какой интерфейс слать запрос. Во всяком случае всякие консольные curl'ы с wget'ами такие опции имеют. Но может получиться некроссплатформенно.

Я бы отрезолвил адрес и проверил, что он публичный, а не попадает в приватные диапазоны.

Правильно ли я понимаю, что все внутренние сетки хостеров, докер, VPN в кластере и т.п. имеют приватные диапазоны?

PS. Если их конечно не настраивали криво специально.

Да. Если будет иначе, то может возникнуть конфликт адресов. Если по одному и тому же адресу есть публичный сервер, а есть в локалке. В итоге кто-то из них будет недоступен. В случае с локальными адресами таких проблем нет, потому что чужие локалки недоступны и думать о них не нужно.