Você provavelmente está se referindo a RFC 6864 .
Em um 4.17.x Linux, eu pude ver id = 0 aparecendo apenas de forma confiável para o pacote SYN + ACK de um servidor respondendo a uma conexão recebida, mas não depois.
UPDATE: OP confirmou que era o caso usual na questão também (com um kernel 4.4.x).
Provável requisito mínimo : nftables v0.6. notrack não é necessário, as entradas do conntrack não se importam com esse id.
Por que vale a pena, aqui está uma regra nftables para alterar o valor de id para o valor 0xbeef quando [DF] está definido e id == 0. Eu não acho que iptables é capaz de fazer isso.
nft add table raw
nft 'add chain raw output {type filter hook output priority -300;}'
nft 'add rule raw output ip frag-off & 0x4000 != 0 ip id == 0 ip id set 0xbeef'
0x4000 aqui significa o sinal DF .