La regla de iptable para ENTRADA con la dirección IP de destino específica no se bloquea e iptable no tiene conocimiento de ningún paquete de este tipo.

La mayoría de las preocupaciones se refieren a la IP de SRC en el caso de la cadena INPUT.

Sin embargo, para el siguiente caso:

A continuación funciona si alguien envía una dirección IP de origen incorrecta o un puerto de destino incorrecto:

La IP de una de las interfaces en el host es 192.168.1.11

iptables -A INPUT -s 192.168.1.1 -d 192.168.1.11 -dport 1000 -j ACCEPT
iptables -A INPUT -j NFLOG --nflog-group 30
iptables -A INPUT -j DROP

A continuación no funcionasi alguien envía una IP de origen incorrecta o un puerto de destino incorrecto:

No hay IP: 192.168.1.11 para ninguna de las interfaces del host

iptables -A INPUT -s 192.168.1.1 -d 192.168.1.11 -dport 1000 -j ACCEPT
iptables -A INPUT -j NFLOG --nflog-group 30
iptables -A INPUT -j DROP

Esto da la impresión:

• tener una IP cancelada en el host (sin interfaz con una IP específica), hace que iptable no considere esa regla en absoluto O
• iptable nunca recibirá este paquete entrante y se eliminará antes que él.

iptables llega a una etapa posterior después del enrutamiento de IP.

¿Alguien puede decirme si así es como funciona iptable?

Además, ¿cuál es la manera de superarlo en caso de que la intención sea iniciar sesión en NFLLOG sobre cualquier mensaje entrante que ingrese al sistema y que describa una dirección IP de destino incorrecta?

Lo intenté, -t mangle, -t nat, -A preroute y también verificación de cadena.

¿Necesito usar comprobaciones de nivel inferior, por ejemplo, ebtable, NetFilter, etc.?