Разработчики Linux выбрали nftables вместо iptables по ряду причин:

• Эффективность. 1 Nftables использует оптимизированные структуры данных для более эффективной обработки правил, что особенно важно при большом количестве правил брандмауэра или сложной фильтрации трафика. 1
• Атомарные обновления правил. 1 Это значит, что можно загрузить весь новый набор правил без простоев или частичного применения правил. 1 С iptables правила нужно обновлять по одному, что может привести к ошибкам или брешам в безопасности. 1
• Унифицированный синтаксис. 12 Он подходит для всех протоколов (IPv4, IPv6, ARP и других), что упрощает написание правил и уменьшает вероятность ошибок. 2

При этом nftables поддерживает правила iptables через слой совместимости, что позволяет постепенно переходить на nftables, если не хочется полностью переписывать правила брандмауэра. 1