Ez szimpla absztrakció.
Kétféle módon lehet implementálni.
Vagy iszonyat lassú lesz (relatíve) és viszonylag jól konvertálódnak az utasítások. Lásd Java.
Vagy elfogadható sebességű lesz (mint ez, mert itt nem lehet lassú) de folyton konverziós likakra fut.
Az van, hogy amikor a kernel váltani fog, akkor át kell írni a teljes iptablest. Nem lehet megúszni a munkát :(
Ilyenkor lehet azokra a több éves iptables gyöngyszemekre akadni, amikor vakarjuk a fejünket, hogy ez mire jó? semmire. Kitörlöm... utána kiderül, hogy semmi sem megy :)