Da ich ESP in der Transportschicht in einem Docker-Container verwenden muss, möchte ich die TCP-Prüfsummenüberprüfung im Docker-Container deaktivieren. Ist das irgendwie möglich?
Wenn nicht, gibt es eine Möglichkeit, die Pakete an ein benutzerdefiniertes Netfilter-Modul weiterzuleiten, bevor sie gelöscht werden, um die Prüfsumme zu korrigieren? Um beispielsweise ausgehende Pakete zu korrigieren, habe ich Folgendes verwendet:
sudo iptables -t mangle -A POSTROUTING -p tcp -j NFQUEUE
und dann einfach einen benutzerdefinierten Hook geschrieben, um die Prüfsummen zu korrigieren, bevor die ESP-Verschlüsselung erfolgt.
Dasselbe habe ich allerdings auch für eingehende Pakete versucht:
sudo iptables -t mangle -A PREROUTING -p tcp -j NFQUEUE
und sehe nie, dass Pakete bei NFQUEUE ankommen, also gehe ich davon aus, dass sie gelöscht werden, bevor sie überhaupt die Warteschlange erreichen, weil die Prüfsumme falsch ist. Gibt es eine Möglichkeit, dies zu verhindern?