TL;DR nftables はルールを命令として変換し、専用 VM 内でパケット評価を行っている。 –debug=netlink オプションを使うことで、変換後の命令コードを見ることができる。 たとえば