IP数据报应该在path终止时重新组装,因为分段可能来自不同的path。 我认为Netfilter需要重新组装一个IP数据报,以检查整个有效负载,看看它是否符合给定的过滤规则(我正在寻找一个官方的来源,以确认当netfilter重新组装)。 当IP分片被转发,所以运行netfilter的主机不是path的末端,netfilter是否等待IP分片并重新组装它们? 如果给定的片段没有到达,会发生什么情况,因为它遵循不同的path?
Netfilter