Regole Iptables per impedire lo spoofing IP

Abbiamo seguito le seguenti regole di iptables esistenti nelle nostre caselle front-end Web per impedire lo spoofing IP:

    -A INPUT -s 255.0.0.0/8 -j LOG --log-prefix "Spoofed source IP"
    -A INPUT -s 255.0.0.0/8 -j DROP
    -A INPUT -s 0.0.0.0/8 -j LOG --log-prefix "Spoofed source IP"
    -A INPUT -s 0.0.0.0/8 -j DROP

Vogliamo aggiungere qui sotto le regole per aumentare ulteriormente il IP Spoofing prevention

     -A INPUT -s 224.0.0.0/3 -j LOG --log-prefix "Spoofed source IP"
     -A INPUT -s 255.0.0.0/8 -j DROP
     -A INPUT –s 169.254.0.0/16 -j LOG --log-prefix "Spoofed source IP"
     -A INPUT -s 169.254.0.0/16 -j DROP
     -A INPUT –s 240.0.0.0/5 -j LOG --log-prefix "Spoofed source IP"
     -A INPUT -s 240.0.0.0/5 -j DROP

Suggerisci di aggiungere le regole di sopra in una casella di produzione che esegue Apache httpd come proxy inverso? Questa scatola di produzione è dietro un sistema di bilanciamento del carico F5.

Inoltre, dobbiamo abilitare i seguenti parametri del kernel affinché le regole precedenti funzionino in modo efficace?

               net.ipv4.conf.all.rp_filter=1
               net.ipv4.conf.all.log_martians=1
               net.ipv4.conf.default.log_martians=1