iptable-Regel für INPUT mit spezifischer Ziel-IP wird nicht blockiert und iptable erkennt kein solches Paket

Die meisten Bedenken betreffen die SRC-IP im Fall der INPUT-Kette.

Im folgenden Fall gilt jedoch:

Folgendes funktioniert, wenn jemand eine falsche Quell-IP oder einen falschen Ziel-Port sendet:

Die IP einer der Schnittstellen im Host ist 192.168.1.11

iptables -A INPUT -s 192.168.1.1 -d 192.168.1.11 -dport 1000 -j ACCEPT
iptables -A INPUT -j NFLOG --nflog-group 30
iptables -A INPUT -j DROP

Das Folgende funktioniert nichtwenn jemand eine falsche Quell-IP oder einen falschen Ziel-Port sendet:

Es gibt keine IP - 192.168.1.11 zu einer der Schnittstellen im Host

iptables -A INPUT -s 192.168.1.1 -d 192.168.1.11 -dport 1000 -j ACCEPT
iptables -A INPUT -j NFLOG --nflog-group 30
iptables -A INPUT -j DROP

Dies vermittelt den Eindruck:

• Wenn die IP-Adresse im Host nicht registriert ist (kein iface mit einer bestimmten IP), beachtet iptable diese Regel überhaupt nicht. Oder
• iptable wird dieses eingehende Paket überhaupt nicht empfangen und es wird davor gelöscht.

iptables kommt später nach dem Routing der IPs.

Kann mir jemand sagen, ob iptable so funktioniert?

Und wie lässt sich dies umgehen, wenn die Absicht besteht, sich bei NFLOG über alle eingehenden Nachrichten im System anzumelden, die eine falsche Ziel-IP beschreiben?

Ich habe -t mangle, -t nat, -A preroute und auch String Check ausprobiert.

Muss ich Prüfungen auf niedrigerer Ebene verwenden, z. B. ebtable, NetFilter usw.?