Todos os pacotes de entrada de interfaces de rede externas passam pela cadeia PREROUTING antes de serem associados a qualquer processo (afinal, eles podem ser encaminhados e nunca tocar em nenhum processo). Então você não pode associar nenhuma informação cgroup com esses pacotes.
Somente quando um pacote passa pela cadeia INPUT (será lido por algum processo), ou a cadeia OUTPUT (foi escrita por algum processo), ou a cadeia POSTROUTING depois de vir da cadeia OUTPUT é possível associar qualquer cgroup de informações com ele.
Como você não incluiu nenhuma informação sobre o problema real que está tentando resolver (o que sugere isso é um XY-Problem ), não posso sugerir nenhuma solução alternativa (ou solução adequada).