Eu vejo duas maneiras de atingir seu objetivo, dependendo de suas necessidades.
Você pode deixar a remontagem seguir seu curso e, após a remontagem bem-sucedida, soltar todo o pacote. Isso funciona somente se o pacote reagrupado estiver sobre a interface MTU (caso contrário, você não será capaz de distinguir entre pacotes remontados e “normais”). Se os pacotes não puderem ser remontados com sucesso, eles serão descartados de qualquer maneira, mas com uma sobrecarga de CPU maior.
A outra maneira é modificar a origem e fazer com que nf_defrag_ipv4
ignore os pacotes do (s) protocolo (s) que você deseja manipular diretamente. Uma rápida olhada sugere que isso deve funcionar, já que já existe uma opção ( IP_NODEFRAG
) disponível para soquetes RAW que permite ignorar o código de reagrupamento.
Para ser honesto, eu também adoraria ter mais controle sobre essa parte da filtragem, então tentarei corrigir o problema.