Здравствуйте!

Помогите, пожалуйста, разобраться. Вот есть netfilter/iptables, который пришел на смену ipchains. Netfilter - функции уровня ядра, iptables - userspace, через который настраиваются правила. Правильно? Дальше идет firewalld, который является, по сути, фронтендом к iptables. Верно? И тут в RHEL8 по дефолту попадаю на nftables, который вообще непонятно на каком уровне работает, причем firewalld имеет его поддержку и может дергать, как и iptables. Из-за нехватки компетенции, сложить пазл из официальной документации не получается, помогите.

1. Зачем нужен firewalld? Это же, по сути, еще один уровень абстракции над netfilter/iptables? То есть, это все равно, что если бы в iptables передавались правила из еще одного iptables? Или неправильно понял?


2. Вот тут совсем темнота. На каком уровне работает nftables? Является ли он заменой Netfilter на уровне ядра, либо это «коннектор» в виде микроВМ, который просто помог упразднить зоопарк *tables и является прослойкой к Netfilter? Вообще не понимаю, объясните как дураку, пожалуйста.


3. Ну и риторический вопрос - стоит использовать nft, где он идет уже из коробки или(по консервативному невежеству) сносить вместе с firewalld и ставить iptables-services? Есть ли ощутимый профит от заявленного удобства и производительности?

Заранее спасибо вам за ответы!

 firewalld, iptables, netfilter, nftables