<div dir="ltr">I'm not positive, but the man page on ubuntu 16.04 4.4.0-93-generic - (iptables v1.6.0) also does not show it.  <div><br></div><div>You can also do: <span style="background-color:rgb(239,240,241);color:rgb(36,39,41);font-family:Consolas,Menlo,Monaco,"Lucida Console","Liberation Mono","DejaVu Sans Mono","Bitstream Vera Sans Mono","Courier New",monospace,sans-serif;font-size:13px">-A INPUT -s 123.456.789.101/08 -p tcp --dport 22 -j ACCEPT</span></div><div><br></div><div>As an early iptables rule, but that does not solve the problem as much as allow you to fix it.<span style="background-color:rgb(239,240,241);color:rgb(36,39,41);font-family:Consolas,Menlo,Monaco,"Lucida Console","Liberation Mono","DejaVu Sans Mono","Bitstream Vera Sans Mono","Courier New",monospace,sans-serif;font-size:13px"><br></span></div><div><br></div><div>I would just try to add the rule with the flag, and see if it complains.  I use salt for configuration and was looking at their iptables code to see how to add it to my suricata states, and noticed it has been in their source for a while.</div><div><br></div><div>Jeff</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Aug 30, 2017 at 4:40 PM, James Moe <span dir="ltr"><<a href="mailto:jimoe@sohnen-moe.com" target="_blank">jimoe@sohnen-moe.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 08/29/2017 02:13 PM, Jeff Dyke wrote:<br>
> <a href="https://home.regit.org/netfilter-en/using-nfqueue-and-libnetfilter_queue/" rel="noreferrer" target="_blank">https://home.regit.org/<wbr>netfilter-en/using-nfqueue-<wbr>and-libnetfilter_queue/</a><br>
><br>
</span>> You can add |--queue-bypass|. I'll request that the documentation is<br>
<span class="">> updated. I'm not out of the woods, but past this issue.<br>
><br>
</span>  In opensuse 42.2 (linux 4.4.79-18.26-default x86_64) the iptables<br>
manual does not show "--queue-bypass" as an option.<br>
  Is the option undocumented, hidden, or unsupported? Or does it require<br>
a custom build of iptables?<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
James Moe<br>
moe dot james at sohnen-moe dot com<br>
<a href="tel:520.743.3936" value="+15207433936">520.743.3936</a><br>
Think.<br>
<br>
</font></span><br>______________________________<wbr>_________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
<br>
Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>
Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/<wbr>training/</a><br></blockquote></div><br></div>