O datagrama IP deve ser remontado na terminação do caminho, porque os fragmentos podem chegar de caminhos diferentes. Acho que Netfilter precisa remontar um datagrama IP para inspecionar toda a carga útil para ver se ela corresponde a uma determinada regra de filtro (estou procurando uma fonte oficial para confirmar quando o netfilter é remontado).
Quando os fragmentos IP são encaminhados para que o host que está executando o netfilter não seja o fim do caminho, o netfilter espera pelos fragmentos IP e os remonta? O que acontece se um determinado fragmento não chegar porque segue um caminho diferente?