bolvan
Я для nfqws скопипастил из интернета команду вида
iptables -I OUTPUT -o <network_interface> -p tcp --dport 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass
И как я понял, там применены различные ухищрения и финифлюшки, чтобы не гнать весь трафик, а только то, что необходимо. Но сейчас повсеместно используется nftables. Вы сами говорили, что nftables в некоторых аспектах значительно превосходит iptables. И вот для nftables правила выглядят подозрительно простыми
nft add rule inet ztest post tcp dport "{80,443}" ct original packets 1-12 queue num 200 bypass
nft add rule inet ztest post udp dport 443 ct original packets 1-4 queue num 200 bypass
А мне хочется не абы какие правила, а САМЫЕ ЛУЧШИЕ! 
Возможно как-то улучшить правила для nftables или же они уже безупречны?