Como você está dizendo que "precisa da porta", presumo que você esteja oferecendo algum tipo de serviço público na porta UDP atacada pelo DoS. Usando o HAProxy não iria ajudá-lo como HAProxy
- não suporta o transporte UDP
- mesmo que isso acontecesse, não lhe daria os meios para diferenciar pacotes "ruins" dos "bons" - ou seja, não funcionaria como um filtro
As opções disponíveis dependem das características dos pacotes "ruins".
Se você pudesse identificá-los com base nas informações de cabeçalho (endereço de origem / destino IP, origem UDP / porta de destino), sua melhor opção seria pedir ao seu ISP para filtrar pacotes correspondentes aos critérios apropriados.
Se você precisar de inspeção de conteúdo ou estado, provavelmente o ISP não será capaz de ajudar (embora não seja difícil perguntar), mas precisará configurar um roteador de filtragem de pacotes capaz de filtrar pelos critérios definidos. . O pf / BSD, assim como o netfilter / Linux, provavelmente seriam capazes de fazer o trabalho.