Mít možnosti základního rate-limitu/ blokování přímo v základní komponentě v základním systému mi dává smysl, zvlášť když za tím stojí lidi z OpenBSD.
Bohužel mají nftables poměrně těžkopádné rozhraní, aby se to šikovně rozšiřovalo z nějakého vysokoúrovňového jazyka bez mezivrstev a rozsáhlých knihoven v a pro C. Není mi jasné, proč nemůže volitelně nftables vypisovat, či získávat stav v nějakém příčetném datovém formátu kromě raw socketu ještě třeba přes unix socket nebo rovnou TCP socket. Však by to nemuselo být standardně zapnuté.
Potom by asi bylo i snazší různé přístupy k blokování, rate-limitingu apod. propojit a v nějakém démonu udělat kompletnější obrázek aniž by ta věc běžela víceméně jako root (resp. se kolem toho faktu muselo hackovat dalšími nástroji a frameworky).