Estou assumindo que você está falando sobre os pacotes de anúncios entre os hosts do ucarp. Eu não usei o ucarp, mas um rápido exame da fonte me faz pensar que ele está escutando via libpcap de tal forma que ele estará efetivamente imune à filtragem pelo iptables.
A função carp_send_ad() no carp.c parece ser de onde os pacotes de anúncios são originados. Estou vendo o código reunindo um quadro Ethernet multicast ou broadcast (dependendo do no_mcast booleano) com o anúncio CARP dentro dele. O IP de origem parece ser o IP de origem especificado na linha de comando e o IP de destino parece ser o endereço multicast 224.0.0.18. Como tal, você poderia filtrar esses endereços de origem e destino na cadeia INPUT, mas acho que você vai descobrir que não há necessidade de se preocupar com isso, já que os pacotes estão sendo sugados do fio com a libpcap de qualquer maneira.
(Seria bom se a chuva aqui diminuísse um pouco para que eu não estivesse sentada jogando Falha do Servidor ...)