Szvsz. a korrekt systemd-s megoldás az lenne, hogy írnak egy generátort, ami a megtalált kernel modulok alapján legyárt mindegyikhez egy-egy külön unit-ot, amire utána már a netfilter-persistent dependelhet.
Hát ez a tipikus esete annak, amikor olyan problémára keressük a "systemd-s" megoldás, ami tulajdonképpen nem is létezik.
Hint: van kernel autoloader, kiadod a netfilter parancsot, a kernel meg magától betölti a modulokat. És ehhez egy bitnyi systemd sem kell...