Você poderia usar ambos, nem deveria existir realmente, então o bloqueio não deveria doer.
Eu também adicionaria regras para bloquear IPs sem roteamento provenientes de fora da sua rede.
Estou tentando descartar todos os pacotes da Internet que usam um endereço IP falso para que eles apareçam no local.
Preciso das duas linhas ou apenas da primeira?
--append INPUT ! --in-interface lo --source 127.0.0.0/8 --jump DROP --append INPUT ! --in-interface lo --destination 127.0.0.0/8 --jump DROP
Você poderia usar ambos, nem deveria existir realmente, então o bloqueio não deveria doer.
Eu também adicionaria regras para bloquear IPs sem roteamento provenientes de fora da sua rede.
Tags networking iptables linux