iptablesxt_bpf拡張は、ペイロード長などの補助パケットデータにアクセスするために使用できます。拡張機能xt_u32もある程度これを行うことができます。 nftablesが長さメタセレクタをサポートしていることを知っていますが、元の荷重表現固定オフセットまたはレイヤー2、3、4ヘッダーのベースのみがサポートされています。 SNIと一致させるためにnftablesを使用するのと同じように、可変オフセットで一致を実行する方法はありますか?これはリソースが非常に限られた組み込みシステムであるため、nftablesとiptablesを同時に使用するのは理想的ではありません。
可能であれば、libnetfilter_queueユーザー空間に決定を渡す他のものを使用しないことをお勧めします。フィルタリングは完全にカーネルで行う必要があります。