假设 conntrack 模块已加载(因此nf_defrag_ipv4已加载)。曾经原始表会收到碎片数据包吗?具体来说,xt_bpf像这样的 BPF 规则(通过 加载)会返回 true 吗?
ldh [6]
jset #0x1fff, match
ret #0
match:
ret #65535
我之所以问这个问题,是因为我需要优化 iptables 使用的某些 cBPF,而且碎片检查似乎是我可以摆脱的东西,因为 conntrack 的片段重组模块在原始表中的任何内容之前进行挂钩。