Ono je těch předpokladů trochu víc. Nejen že by příslušný conntrack helper musel být natažený, pokud není povolený automatic helper assignment (volba existuje od 3.5 a od 4.7 je defaultně vypnutá), budou muset být navíc nastavená odpovídající pravidla, aby ten helper příslušné pakety opravdu zpracovával a nastavoval expectations.
S těmi fragmenty to také není tak jednoduché, protože pokud je aktivní connection tracking (a na tom ten útok závisí), fragmentovaný paket se pro netfilter složí (u IPv4 skutečně, u IPv6 virtuálně) a netfilter tak pracuje s celým paketem, ne s jednotlivými fragmenty. Takže tvrzení z toho článku, že porty se kontrolují jen u prvního fragmentu, už docela dlouho neplatí.
Takze to nekdo preoptimalizoval a pak to tak dopada.. viz pristup tohoto pana:
https://forum.root.cz/index.php?topic=24461.0
Samozrejme mu tam radim, at otestuje veskere hlavicky - ten NAT slipstreaming mi prijde prave jako bug tohoto druhu.