Поскольку мне нужно использовать esp на транспортном уровне в контейнере docker, я хочу отключить проверку контрольной суммы tcp в контейнере docker. Есть ли способ сделать это?
Если нет, есть ли способ передать пакеты пользовательскому модулю netfilter до того, как они будут отброшены, чтобы исправить контрольную сумму? Например, для исправления исходящих пакетов я использовал:
sudo iptables -t mangle -A POSTROUTING -p tcp -j NFQUEUE
а затем просто написал специальный хук для исправления контрольных сумм перед тем, как произойдет шифрование ESP.
Однако я попробовал сделать то же самое для входящих пакетов:
sudo iptables -t mangle -A PREROUTING -p tcp -j NFQUEUE
и никогда не вижу, чтобы пакеты прибывали в NFQUEUE, поэтому я предполагаю, что они отбрасываются еще до того, как попадают в очередь, потому что контрольная сумма неверна. Есть ли способ предотвратить это?