Настроил port-mapping на почтовый сервак в DMZ,
service: smtp-in, включил IDS. В логи по данному правилу идут события,
WEB-CGI scriptalias access, WEB-MISC apache DOS attempt
и похожие атаки на веб сервера.
Когда ставил IDS в противодействие, на почтовике (FreeBSD,sendmail),
после таких "атак", повисали процессы sendmail, с установленным соединением, и накапливались что не есть гуд. Причем данные "атаки" шли и с релея провайдера что мало вероятно.
Так-же есть port-mapping и на веб сервак, http-in. на тот-же сервак.
Там все чисто.

Может dfl что-то путает?