Názor k článku Debian 9 Stretch je tu: firewall nftables a konec MySQL od jm - Co se abstrakce týče, konfigurační jazyk nftables je...

Co se abstrakce týče, konfigurační jazyk nftables je oproti iptables mnohem komfortnější, snadno se kombinuje víc kritérií dohromady a třeba rate limiting ssh spojení per zdrojová IP adresa obnáší jeden řádek. Aspoň pro jednodušší instalace podle mě dává smysl se na výše uvedené nástroje vykašlat a napsat ta pravidla přímo pro nftables.

Na svém domácím desktoposerveru jsem to udělal a nová konfigurace je mnohem přehlednější, navíc v té hromadě chainů, co vypadla ze Shorewallu se zpětně moc vyznat nedalo.