История изменений

Патч не нужен, если не используется connlabel.

Не заметил, что ты пытаешься работать с ifb

ifb это достаточно унылая, но якобы идеологически правильная поделка. Она работает до iptables/nftables

В твоем варианте проще всего использовать imq. Но это обязательный патч на ядро.

С ifb оно теоретически тоже будет работать, но нужно использовать action который умеет получать из connmark метку, а в ndpi кроме пакета нужно маркировать соединение через CONNMARK, тогда ifb тоже будет работать.

Патч не нужен, если не используется connlabel.

А счетчики правил с "-m ndpi" не нулевые?

Совет: начни с простого протокола типа ssh. Его очень просто проверять. Когда заработает, перейди на BT.