На этот вопрос уже есть ответ здесь:
Является ли использование Free / Open BSD + pf приемлемым вариантом для фильтрации DDoS-атак? Какой из двух будет лучше работать при большой нагрузке? (SYN-флуд с максимальным объемом канала 1 Гбит)
Можно ли вообще рассмотреть этот вариант или нужен полный аппаратный фильтр DDoS для получения достаточно быстрой производительности?
Я думаю, что pf может обработать (synproxy, urpf и syncache, настраивающийся) это правильно на достойных аппаратных средствах без использования задач Freebsd или OpenBSD. Я буду склонен использовать OpenBSD, потому что я более знаком с ним.
Using any firewall as DDoS protection is a bad idea. DDoS attacks hit the most resource-intensive portion of any firewall, evaluating its ruleset for huge numbers of new connections. DDoS attacks melt down any firewall very quickly. How quickly and how big of an attack one can handle depends on how big of a firewall. In general, you don't want to look at a firewall as a solution to help with DDoS attacks as it will most likely become the most susceptible thing on your network to succumbing to those attacks.