Como preciso usar esp na camada de transporte em um contêiner docker, quero desabilitar a verificação da soma de verificação tcp no contêiner do docker. Existe alguma maneira de isso ser possível?
Caso contrário, existe alguma maneira de fornecer os pacotes a um módulo netfilter personalizado antes que eles sejam descartados para corrigir a soma de verificação? Por exemplo, para corrigir pacotes de saída usei:
sudo iptables -t mangle -A POSTROUTING -p tcp -j NFQUEUE
e então simplesmente escrevi um gancho personalizado para corrigir as somas de verificação antes que a criptografia esp aconteça.
No entanto, tentei o mesmo para pacotes recebidos:
sudo iptables -t mangle -A PREROUTING -p tcp -j NFQUEUE
e nunca vejo nenhum pacote chegar ao NFQUEUE, então presumo que eles sejam descartados antes mesmo de chegarem à fila porque a soma de verificação está incorreta. Alguma maneira de evitar isso?