Практически:

Why is nftables not in Debian Jessie?

You can find nftables in jessie-backports :-) At the time of jessie release, the software was not stable.

/comment95726:

SPICE is another remote-display protocol and QXL is a PV framebuffer which uses the best of the SPICE capabilities.

Номинально есть спайс вместо VNC (через него идёт звук, быстрое видео и даже USB), если в наличии паравиртуальная видеокарта с драйвером qxl. Без qxl вряд ли будет будет сколь-нибудь существенное преимущество по сравнению с VNC. Добавили qxl, по всей видимости, в 4.6. Когда это будет в Debian stable – непонятно, хотя какая-то документация в сети имеется. На слайдах о 4.6 об этом же:

Improved SPICE/QXL support

Пишут, в PV-режиме пока не работает вообще, но принципиальных запретов тому вроде как нет.

Пытаюсь понемногу переваривать весь массив информации), который вы на меня обрушили))
Я многих чисто технических деталей не знал.

Есть три инструмента, функционал которых частично перекрывается: iptables, arptables и ebtables. Чтобы написать простейшие правила, надо понимать, как всё это работает на нижнем уровне.

Ну вообще насколько я вижу правила записываются достаточно просто.
Сам их синтаксис прост насколько я могу судить.

Другое дело, что как написать комплексное правило – например запретить прохождения трафика с заданного ip и мака.
Закрывать ip надо в iptables, mac в ebtables – а как их объединить?

на их место пришёл wwwnftables, который объединяет в себе функционал всех {ipt,eb,arp}tables, более PF-подобен и имеет структуру.

PF is a BSD licensed stateful packet filter.
То есть фильтр в BSD системах выполнен лучше, чем в Linux (чем был в Linux до появления nftables)?
Он удобней в использовании?

Да, и поэтому написать на них что-нибудь существенное – это как писать на асме (та же проблема у фрёвого ipfw). А другая проблема – баги, много багов. Об этом не только Mike Perry писал.

Они работают независимо на разных уровнях OSI. Если пакет проходит ethernet-фильтрацию, дальше он фильтруется через iptables.

Слова лучше/хуже слишком условны. Скажем так, у всего есть преимущества и недостатки – зависит от критериев оценки. Номинально Linux-овый фильтр с учётом iptables-extensions более функционален, но есть экзотика, которая имеется в PF, но отсутствует в iptables. Если брать последние версии PF в OpenBSD, то функционала с запасом хватает практически на все случаи жизни, но в других BSD не всё поддерживается, и там более старые версии PF. В частности, может не получиться фильтровать по MAC-адресам.

Вопросы iptables vs PF ранее на сайте обсуждались здесь и здесь. На nftables я внимательно не смотрел, но в сравнении с PF он мне показался, скорее, полумерой, т.е. по сути – небольшие улучшения поверх стандартного стека с линуксовыми "цепочками", а не смена самого подхода. Мапинг между тем, что делает машина, и тем, что нужно вам, очень сложный. В случае iptables вы работаете компилятором, в случае PF эту работу выполняет машина за вас.

В тысячу раз.