Te láthatóan átdobnád ezt a felelősséget a szolgáltatásra
Nem, egyáltalán nem. A probléma megoldása ugyanis jelenleg is létezik, és az esetek 99.9%-ában semmiféle átdobás nincs a szolgáltatásra.
A hardverfüggő modulokat az esetek 99.99%-ában a kernel + udev jelenleg is képes korrektül kezelni, bootoláskor szétnéz, hogy mit lát, és minden autodetektált perifériának betölti a driverét (ezért volt szar példa CUPS meg a printer port). PnP előtti ISA kártyáknál ez valóban nem megy, de lássuk be, hogy aki ilyet akar, az majd konfigurál kézzel (ezek a kártyák ugye 20+ évesek). Meg nyilván akad még 2-3 egzotikus hardver, amit nem lehet autodetektálni, na náluk marad a kézi mutatvány, vagy a maradék opciók egyike, de ezt szintén nem fogja más (pl. egy systemd) megoldani az adminisztrátor helyett.
A nem hardverfüggő modulok szintén jelentős részében a kernel + udev "automágikusan" betölti a modult, amikor valaki hozzányúl az API-hoz. Ilyen pl. az ipv6, amint valami hivatkozik az ipv6 protokollra, a kernel kér egy 10-es PF-et, az udev meg a konfig fájlba belehardkódolt modult betölti ehhez.
Nagyjából a netfilter/virtualbox vonalon van a maradék, no ezekhez egy konkrét userspace csomag tartozik, amit amúgy is rootként kell futtatni, ergó azok majd ezt szépen kezelik: vagy modprobe-olnak maguk, vagy megírja a gazdájuk a szükséges rc scriptet/systemd konfigot/etc hozzá, ízlés szerint. Rajtuk kívül más amúgy sem tud a moduljuk létezéséről, ergó az előző kettő megközelítés nyilván nem fog menni. Ja, és mellesleg: a netfilter sem az összes modult tölti kézzel, hanem csak az elsőt (az ip_tables-t, ami nélkül a kernel a netfilter létezéséről sem tud, tehát itt nincs más opció), utána a többit már a kernel tölti ondemand, ahogy próbálja a userspace használni az adott funkciót. Mellesleg, ha az ip_tables fixen bele van fordítva a kernelbe, akkor erre sincs szükség, minden megy a kernel autoloaderrel szépen.
Nem tudom, hogy nálad az iptables-restore miért nem tölti be a modulokat, azt sem, hogy az nálad miért külön csomag (vagy félreértettem a mondatodat), nálam pont ugyanabból az iptables-1.4.21.tar.bz2-ből jön létre, pont ugyanabban az iptables csomagban van, és pont ugyanúgy nincs gondja a modulok ondemand betöltésével.