将网桥实现为用户空间程序？

我希望对来自和前往 lxc 容器的数据包进行一些数据包过滤/地址重写。

经过一些基础研究后，我认为最好的方法是为容器分配一个网桥网络适配器，并让这个网桥进行过滤。但是，我没有找到在用户空间程序中实现桥的方法（只能通过 brctl 命令行工具），所以这引出了我的问题：

1. 如何在用户空间程序中实现带过滤功能的网桥？有人能指出我正确的方向吗？
2. 有没有更好的方法来实现这种过滤？我希望能够根据动态规则重写目标地址并丢弃数据包。

请注意，我希望自己实现大部分内容，而不是（过多）依赖预构建的工具。