Механизм отслеживания соединений в nftables работает с помощью системы Connection Tracking от netfilter (часто упоминается как conntrack или ct). 2 Она связывает сетевые пакеты с соединениями и состояниями этих соединений. 2

Набор правил nftables выполняет брандмауэр с отслеживанием состояния, применяя политику на основе того, являются ли пакеты допустимыми частями отслеживаемых соединений. 2

Также nftables часто выполняет перевод сетевого адреса с помощью механизма NAT от Netfilter, который построен на основе conntrack. 2

Система conntrack распознаёт пакеты, которые являются ответами на существующее соединение. 1 Каждое соединение имеет своё состояние NAT, обратное преобразование выполняется автоматически. 1

Для использования механизма отслеживания соединений в nftables в подходящем месте вставляются «правила трассировки», которые выбирают пакеты для трассировки. 1