Precisa de ajuda com a regra de tabelas IP para filtrar por Hex

Estou configurando um servidor e preciso fazer uma configuração específica. Eu tenho que soltar um pacote específico que sempre começa com XX 01 . Eu posso fazer isso com esta regra:

sudo iptables -A INPUT  -p tcp --dport XXXX -m string --hex-string '|XX 01|' --algo bm -j REJECT

Mas o problema é que iptables começa a ler o primeiro caractere HEX, portanto, às vezes, gera falsos positivos.
Quero dizer, iptables descarta bons pacotes que combinam com a regra. Por exemplo: cai aa aa aa XX 01 aa aa aa aa .

O que eu preciso de iptables fazer é apenas descartar o pacote SOMENTE se XX 01 forem os primeiros 4 caracteres da string de dados. Ignorando se está presente após o 4º dado. Quero dizer, se eu tiver, por exemplo 6D 00 00 00 00 00 XX 01 00 AA , tem que passar.

Eu sei que existe a maneira oposta de fazer isso, quero dizer, eu posso apenas conectar meu servidor e capturar pacotes de entrada com wireshark , para colocar na lista de permissões o primeiro Hex que não é XX 01 para cada pacote que contém XX 01 em sua cadeia de dados: por exemplo, a string 6D que exibi lá. Mas para fazer isso eu preciso farejar por horas e tenho que criar muitas regras. Eu preciso configurar uma regra para whitelist todos os pacotes que começam com qualquer coisa, mas XX 01 , ou uma regra que pára de ler o pacote após o 4 º caractere hexadecimal.

Qualquer ajuda será apreciada.