Задача:
Отфильтровать IP/UDP пакеты (тривиально) такие, что (самый цимес) в payload UDP пакета самый первый байт имеет старший бит равный 1. Ну или = 0x80/0x80, если применить схему база/маска.
Вот как бы такое отловить?

Первая мясль была iptables --hex-string, но тут нельзя биты фильтровать. Вторая tc filter, но документация подобного рода сильно эзотерична, а примеры скудны и разрозненны.

Как добыть UDP payload в iptables/iproute2 у меня так и не получилось понять. В принципе можно упростить, посчитав, что payload начинается с оффсетом 42 (=0x2a) от заголовка пакета (MAC). Но заделать битовую маску - не осилилось:(

Прошу помощи.

Спасибо.