Нужно использовать u32.
В GoodbyeDPI это делается так:
#define FILTER_PASSIVE_BLOCK_QUIC "outbound and !impostor and !loopback and udp " \
"and udp.DstPort == 443 and udp.PayloadLength >= 1200 " \
"and udp.Payload[0] >= 0xC0 and udp.Payload32[1b] == 0x01"
Соответственно u32 будет примерно такой:
iptables -A FORWARD -p udp --dport 443 -m connbytes --connbytes 0:20 --connbytes-dir original --connbytes-mode packets -m u32 --u32 '25 & 0xF0 = 0xC0 && 29 = 0x00000001' -j DROP
ip6tables -A FORWARD -p udp --dport 443 -m connbytes --connbytes 0:20 --connbytes-dir original --connbytes-mode packets -m u32 --u32 '45 & 0xF0 = 0xC0 && 49 = 0x00000001' -j DROP