Implementar bridge de rede como programa userspace?

Estou procurando fazer uma filtragem de pacotes / reescrita de endereço para os pacotes que estão vindo e indo para um contêiner lxc.

Após algumas pesquisas básicas, concluí que a melhor maneira de fazer isso é atribuir um adaptador de rede de ponte ao contêiner e fazer com que essa ponte faça a filtragem. No entanto, não encontrei uma maneira de implementar uma ponte em um programa de espaço do usuário (somente através da ferramenta de linha de comando brctl), o que me leva a minhas perguntas:

1. Como faço para implementar uma ponte de rede com filtragem em um programa de espaço do usuário? Alguém pode me apontar na direção correta?
2. Existe uma maneira melhor de implementar esse filtro? Eu estou olhando para ser capaz de reescrever endereços de destino e soltar pacotes básicos em regras dinâmicas.

Por favor, note que eu estou olhando para implementar a maior parte sozinho e não confiar muito em uma ferramenta pré-construída.