O truque iptables -m owner só pode rastrear pacotes contra um usuário que é enviado para fora (por definição). Não pode ser usado para rastrear pacotes recebidos para esse usuário.
Eu admito, em cima da minha cabeça, eu não vejo nenhuma maneira legal de fazer isso. A um ponto no escuro, vai envolver a aplicação de um patch no nível do kernel para, por exemplo, permitir que apenas usuários específicos se liguem a intervalos de portas específicos na pilha de rede (semelhante à ideia de que apenas o root pode se ligar a soquetes de rede na porta 1024 e inferior). Em seguida, você pode aplicar o log de tráfego do iptables nesses intervalos de portas e ter certeza de que o tráfego é para, e somente para, o usuário correspondente que tem permissão para ligar a essas portas. A desvantagem é que isso causará estragos em aplicativos de usuários que não estão cientes dessas limitações, quando eles decidem tentar ligar-se a uma porta e o kernel diz não.
Também pode ser possível fazer isso com o SE Linux, mas eu suspeito que tenha o potencial de se tornar um pesadelo de manutenção entre administradores: link