O -A INPUT -s
adiciona uma regra para todos os pacotes com as sub-redes source especificadas na linha.
Portanto, no seu exemplo, você está registrando e descartando todos os pacotes que têm um endereço IP de origem que começa com 255
e todos que começam com 0
, como 255.1.2.3.4
ou 0.56.78.90
A ideia aqui é que nunca haverá pacotes que iniciem com esses endereços e, portanto, caso apareçam, eles devem ser falsificados.
Na verdade, existem muito mais endereços IP inválidos ou reservados que os que você listou e que poderiam ser adicionados a essa lista.
Existem muitos recursos em sub-redes e muitas calculadoras de sub-rede on-line para ajudá-lo. No seu caso, o /8
declara que os primeiros 8 bits do endereço IP especificam a rede e todos os outros (os 24 restantes) especificam um host dentro dessa sub-rede. Nos dois exemplos, o primeiro octeto (8 bits) é a rede e os outros três octetos podem ser qualquer valor. Seu 255.0.0.0/8
, portanto, pode ser de 255.0.0.0
a 255.255.255.255
e seu 0.0.0.0/8
pode ser de 0.0.0.0
a 0.255.255.255
.