BCP 38 říká jen to, že klient má přidělenou nějakou IP (či segment) a NIC JINÉHO od něj nesmí odejít (myšlena je zdrojová IP).
Na nějaké hlavní gateway se to dělá relativně špatně, musí to být někde blíže k tomu klientovi. Na GW je větší segment kde je spousta IP nepoužitých.
Také můžeš mít nějaký tranzit jiných sítí, o kterých nevíš nic. Ty logicky moc kontrolovat/blokovat nemůžeš.
Ale i na gw to v podstatě asi stačí - IP ze strany LAN musí být jen z rozsahu co tam může být. Akorát nesmí pustit neexistující IP. Prostě nesmí odejít žádná žádná IP, co u tebe neexistuje.
Většinou neloguješ nic. BCP38 je o ochraně proti zfalšování zdrojové IP. Tedy jde o to nestát se zdrojem nějakého DDoS útoku. A to se neděje zase až tak často. Ale kdyby to měli všichni, tak DDoS neexistuje.
Také je dost časté, že z klientských routerů (je skoro jedno jakých) lezou IP lan segmentu. Naprosto nechápu, jak je to možné ... ale je to běžné. Prostě nejsou přeložené NATem. A takové prostě musíš zablokovat. Čím blíže k tomu klientovi, tím lépe.