Việc ngăn chặn một số địa chỉ không match lệ này được lọc ở chain INPUT. Những địa chỉ này sẽ không bao giờ được xem là match lệ như là một gói tin đến từ Internet. Ở mức lọc gói, một vài trường match giả mạo địa chỉ nguồn có thể xác định được. Luật sau sẽ loại bỏ gói tin được xem là đến chính máy Firewall.
Ta không cần phải ngăn gói tin đi ra mà đích nhằm vào chính máy Firewall. Nếu ta gửi gói tin đến interface bên ngoài của Firewall, gói tin đó sẽ đến hàng đợi của interface loopback chứ không phải đến hàng đợi interface bên ngoài. Những gói tin chứa địa chỉ máy Firewall là địa chỉ nguồn sẽ không bao giờ đến được interface bên ngoài, cho dù ta có gửi gói tin đó ra interface bên ngoài.
Như đã biết, địa chỉ IP private trong mỗi lớp A, B, C được sử dụng cho mạng LAN bên trong. Địa chỉ này không được sử dụng trên Internet. Router không hỗ trợ định tuyến gói tin với địa chỉ nguồn là địa chỉ private trừ những Firewall làm nhiệm vụ trung chuyển gói tin chứa địa chỉ nguồn là private. Ngoài ra, một vài trường match cũng có thể làm ta nhận được gói tin với địa chỉ private, vì vậy, ta cần ngăn chặn những gói tin bắt nguồn từ địa chỉ này. Ngoài địa chỉ private, địa chỉ loopback cũng được xem là không match lệ nếu nhận được.
Những luật sau sẽ ngăn chặn gói tin có địa chỉ broadcast không đúng.
Hai luật đầu từ chối gói tin được xem là đến từ 255.255.255.255, địa chỉ chỉ được dùng như là địa chỉ broadcast đích. Một gói tin thật sự sẽ không bao
$IPT -A INPUT -i $INTERNET -s $BROADCAST_DEST -j DROP $IPT -A INPUT -i $INTERNET -d $BROADCAST_SRC -j DROP $IPT -A INPUT -i $INTERNET -s $CLASS_A -j DROP
$IPT -A INPUT -i $INTERNET -s $CLASS_B -j DROP $IPT -A INPUT -i $INTERNET -s $CLASS_C -j DROP
$IPT -A INPUT -i $INTERNET -s $LOOPBACK -j DROP $IPT -A INPUT -i $INTERNET -s $IPADDR -j DROP
Trang 59
giờ có địa chỉ nguồn là 255.255.255.255. Cặp luật thứ hai cũng ghi log và từ chối gói tin đến 0.0.0.0, địa chỉ được dành làm địa chỉ broadcast nguồn. Địa chỉ 0.0.0.0 dành làm địa chỉ quảng bá nguồn. Netfilter cũng sử dụng địa chỉ này để chỉ rằng mọi địa chỉ any/0, 0.0.0.0/0, hay 0.0.0.0/0.0.0.0. Tuy nhiên địa chỉ này lại không phải là địa chỉ quảng bá nguồn. Lý do là gói tin quảng bá có một giá trị bit ở header tầng 2 (tầng liên kết dữ liệu), chỉ ra rằng gói tin sẽ đến mọi interface trong mạng, thay vì điểm-điểm, unicast cho một địa chỉ nào đó. Gói tin broadcast được xử lý hoàn toàn khác với gói tin không broadcast. Không có gói tin không broadcast có địa chỉ là 0.0.0.0.
Địa chỉ multicast chỉ được dùng làm địa chỉ đích. Hơn nữa, gói tin multicast luôn luôn là gói UDP.
Địa chỉ lớp E nằm trong khoảng từ 240.0.0.0 đến 247.255.255.255. Địa chỉ để dành và chỉ thường được sử dụng trong phòng thí nghiệm mạng. Vì thế một gói tin xuất phát từ địa chỉ này là không match lệ.
IANA là tổ chức quản lý, phân phối và nhận đăng ký địa chỉ IP cho thế giới. Một vài đoạn địa chỉ được dành riêng cho IANA. Những địa chỉ này không bao giờ được public lên Internet.