Исправление Thero, (текущая версия) :
1. да вроде даже обросший костыллями иптейблс фильтрует в одном месте.. основной профит тут отбросить костыли дублирующие код по 10 раз..
2. это всё уже реализовали и добавили и стабильно внедрили в году 2015м когда iptables-compat появился..
3. опять же фильтрация происходит в одном месте порой даже не в ядре потому что есть сетевые карты умеющие обрабатывать хардварно правила в bpf. добавить тут можно работу через вм eBPF которая производительней чем та что в nft..
Исходная версия Thero, :
1. да вроде даже обросший костыллями иптейблс фильтрует в одном месте.. основной профит тут отбросить костыли дублирующие код по 10 раз.. 2. это всё уже реализовали и добавили и стабильно внедрили в году 2015м когда iptables-compat появился.. 3. опять же фильтрация происходит в одном месте порой даже не в ядре потому что есть сетевые карты умеющие обрабатывать хардварно правила в bpf. добавить тут можно работу через вм eBPF которая производительней чем та что в nft..