2
Descartar fragmentos de IP de un determinado protocolo.
Cuando conntrack está activo, la pila de iptables nunca ve un paquete IP fragmentado, solo el que se vuelve a ensamblar ( fuente ), entonces el -f prueba nunca coincide. Si quiero bloquear algún fragmento podría establecer ipfrag_high_thresh o ipfrag_time a 0 ( fuente ), pero eso dejaría caer cualquier …