Am Trust If sollte man die privaten Netze wie 10.0.0.0/8 mit discard wegwerfen. Diese IPs werden sowieso nicht im Internet gefunden und wenn ein VPN mit einer privaten IP an der anliegt, so gibt es im Trust definitiv eine more specific Route.
Da der Route Lookup sofort nach Erhalt des Paketes erfolgt, wird die Palo auch weniger belastet. Keine Route – weg mit dem Paket