package de caída de iptables por coincidencia de cadena hexadecimal

Tengo este package capturado con tcpdump, pero no estoy seguro de cómo utilizar el parámetro –hex-string para que coincida con el package. ¿Puede alguien mostrarme cómo hacerlo?

11:18:26.614537 IP (tos 0x0, ttl 17, id 19245, offset 0, flags [DF], proto UDP (17), length 37) xx187.207.1234 > xx152.202.6543: [no cksum] UDP, length 9 0x0000: f46d 0425 b202 000a b853 22cc 0800 4500 .m.%.....S"...E. 0x0010: 0025 4b2d 4000 1111 0442 5ebe bbcf 6701 .%K-@....B^...g. 0x0020: 98ca 697d 6989 0011 0000 ffff ffff 5630 ..i}i.........V0 0x0030: 3230 3300 0000 0000 0000 0000 203......... 

La cadena hexadecimal debe estar rodeada por | símbolos. Los espacios son opcionales

iptables --append INPUT --match string --algo kmp --hex-string '|f4 6d 04 25 b2 02 00 0a|' --jump ACCEPT

Tenga en count que la coincidencia de cadenas debe ser un último recurso. Es intensivo y poco fiable porque funciona en packages no en conexiones. También sólo comienza a trabajar en el tercer package en una connection TCP que limita las acciones que puede utilizar (no puede NAT la connection, por ejemplo).