iptables内のipスプーフィングを防ぐ方法は？

ソースIPをスプーフィングした場合でも、Apacheに接続する前にSYN/ACK TCPハンドシェイクが必要です。これにより、スプーフィングされたTCP接続が効率的に防止されます。したがって、すべての接続がログで確認できるIPアドレスから行われていることを確認できます。

ボットネットまたはオープンプロキシが潜在的な可能性が高いです。それかどこかのウェブページの脆弱性。典型的なエクスプロイトは、Webサーバー上の大きなオブジェクトへのリンクをWebサイトのHTMLに埋め込んで、すべてのクライアントがサーバーからオブジェクトを取得しようとするWebサーバーにアクセスするようにします...

あなたのIPTABLESルールは今では意味があります;）

iptablesルールは問題ありません。ファイアウォールのコンテキストで実際にできることは何もありませんが、ソースルーティングを使用しているユーザーに捕まらないようにする必要があります。 Linuxカーネルにはrp_filter（逆パスフィルター）と呼ばれる設定があり、これをオンにすると、ソースルートを指定するパケットをブロックできます。ソースルーティングは診断コンテキスト外ではほとんど使用されないため、このようなパケットをブロックしても安全です。

ほとんどのLinuxシステムには、カーネル設定を含む/etc/sysctl.confがあります。そのファイルに次の行を追加します。

net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=1

次に再起動して、これらの変数が設定されていることを確認します。または、通常の方法で、実行時に個々のネットワークインターフェイスでそれらを設定できます。

echo 1 > /proc/sys/net/ipv4/conf/eth0/rp_filter
echo 1 > /proc/sys/net/ipv4/conf/eth1/rp_filter
...

または

sysctl -w net.ipv4.conf.eth0.rp_filter=1
sysctl -w net.ipv4.conf.eth1.rp_filter=1
...

ボットネットの可能性をどのようにして排除しましたか？

攻撃者は IPソースルーティング を使用できますか？

上記URLより

残念ながら、ソースルーティングは、インターネット（およびその他の場所）の悪意のあるユーザーによって悪用されることが多く、実際には3番目のマシン（実際には3番目のマシンと通信している場合）（A）、別のマシンと通信している（B）と考えられます。 C）。これは、Cが何らかの目的でBのIPアドレスを制御できることを意味します。

によると Microsoftの記事

リモートの攻撃者は、TCP=ラッパー、またはソースアドレスに基づくアクセスリストで保護されたWindows NTインターネットインフォメーションサーバー（IIS）で保護されたUNIXシステムにアクセスしようとする可能性があります。許可された送信元アドレスのうち、攻撃者が応答を受け取ることはありませんが、攻撃者がアドレスを偽装し、loose-source-routingオプションを設定した場合攻撃者のネットワークに応答を強制的に戻すために、攻撃は成功する可能性があります。

（私の強調）