1. Woher soll ein Besucher wissen, was du innerhalb deines Servers zusammenbastelst?

Von import/nutzer
auf import.php?nutzer=nutzer zu schließen, erfordert wenig Geschick. Irgendeine URL zu raten (zB. index.php) noch weniger.

2. Unabhängig von der hellseherischen Hürde aus 1) könntest Du im Skript die angefragte URL überprüfen; PHP gibt sie IIRC in $_SERVER["REQUEST_URI"] preis, nach mod_rewrite-Behandlung eventuell auch $_SERVER["REDIRECT_URI"].

Ich möchte es, wenn überhaupt, ausschließlich mit mod_rewrite realisieren (alles andere wäre auch übertriebener Aufwand für ein – wie du richtig zeigtest – seltenes Problem.

Diese Darstellung ist mir etwas undurchsichtig. Für wen ist es "ein Leichtes", die Anfrage abzufangen? Die Formulierung erweckt den Eindruck, du würdest von einem Außenstehenden berichten. Und von was für einer Form redest du?

1. Aufruf von index.php
2. Mit [R] flag auf /index umleiten.
3. Aufruf von /index
4. Ohne [R] flag auf index.php umleiten.

Besser so?
Achja: Das verbirgt nicht die Server-Architektur. Es soll nur illustrieren, dass man einen Teufelskreis erstellt. Was ich eher im Sinn hatte war etwas à la:

1. Aufruf von index.php
2. 404 dank mod_rewrite
andere Schiene:
1. Aufruf von /index
2. Ohne [R] flag auf index.php umleiten.

Das birgt aber dasselbe Problem.

Ich suche also etwas à la:
"Wenn der Nutzer nicht über die verbergende URL /index hierhergekommen ist, dann gib einen 404 aus."

Das geht vielleicht mit einer RewriteCond? Kann ich mit der erkennen, welche Umleitung vorgenommen wurde?