IP-дейтаграмма должна быть повторно собрана в конце пути, потому что фрагменты могут прибыть с разных путей. думаю Netfilter необходимо повторно собрать дейтаграмму IP, чтобы проверить всю полезную нагрузку, чтобы увидеть, соответствует ли она заданному правилу фильтра (я ищу официальный источник, чтобы подтвердить, когда netfilter выполняет повторную сборку). Когда IP-фрагменты пересылаются так, что хост, на котором запущен netfilter, не является концом пути, будет ли netfilter ждать фрагментов IP и собирать их заново? Что произойдет, если данный фрагмент не прибудет, потому что он следует другим путем?