Я вижу два способа достижения вашей цели, в зависимости от ваших потребностей.
Вы можете разрешить повторной сборке работать, а затем, после успешной сборки, отбросить весь пакет. Это работает, только если повторно собранный пакет находится через интерфейс MTU (в противном случае вы не сможете различить повторно собранные и «нормальные» пакеты). Если пакеты не могут быть успешно собраны повторно, они все равно будут отброшены, но с большей загрузкой ЦП.
Другой способ - изменить источник и заставить nf_defrag_ipv4
игнорировать пакеты из протокола (ов), которые вы хотите обрабатывать напрямую. Быстрый взгляд показывает, что это должно сработать, поскольку для сокетов RAW уже имеется опция (IP_NODEFRAG
), позволяющая обойти код повторной сборки.
Если честно, мне бы тоже хотелось иметь больше контроля над этой частью фильтрации, поэтому я постараюсь установить патч, чтобы исправить ситуацию.