Paket je niekedy prilis velky aby sa na drot zmestil, ked sa to stane paket je rozdeleny do viac fragmentov a poslany ako viac paketov, pricom druhy koniec ich zlozi.

Problem s fragmentami spociva v tom, ze len prvy paket ma kompletnu hlavicku ktoru prezera firewall, ostatne pakety maju len cast hlavicky (IP bez pridavnych protokolovych policok), preto hladanie hlavicky v dalsich paketoch a jej skumanie ipfiltrom nefunguje.

V pripade ze robite connection tracking alebo NAT su pakety zlozene skor ako sa dostanu do ipfiltra takze fragmentov sa v tomto pripade bat nemusite.

V inych pripadoch je dolezite si uvedomit ako sa k fragmentom spravaju pravidla ipfiltra. KAZDE PRAVIDLO FILTRA KTORE HLADA URCITU INFORMACIU A MY JU NEMAME V HLAVICKE PAKETU (nemame hlavicku) NEVYHOVIE. Znamena to ze prvy fragment je preskumany ako normalny paket, ale ostatne fragmenty nie. napr. : napriklad pravidlo -p TCP --sport (source port) www nikdy nebude suhlasit s inym ako prvym fragmentom.

Je mozne specifikovat pravidlo pre druhy a dalsi fragment pouzitim -f. V podstate je bezpecne nechat druhy a dalsie fragmenty prejst firewallom, pretoze filtrovanie bude zrealizovane na prvom fragmente ktory ma vsetky informacie, ale su reportovane bugy pri ktorych zletela masina z dovodu posielania fragmentov. Preto na OUTPUT chaine urobime nasledovne:

#iptables -A OUTPUT -f -d 192.168.1.1 -j DROP

toto dropne vsetky fragmenty ktore smeruju na 192.168.1.1 - do lokalnej siete