Как правила маршрутизации из IPTables, IPVS и NFTables упорядочиваются с точки зрения прецедента в ядре Linux?

В ядре Linux есть возможность маршрутизации трафика с помощью nftables, iptables и ipvs. Я собрал здесь 3 связанных вопроса, чтобы в целом задать более широкий вопрос о том, как определяется приоритет в отношении правил маршрутизации и брандмауэра ядра:

• В общем, существует ли порядок приоритета, когда эти конструкции балансировки нагрузки / фильтрации пакетов упорядочены?
• NFT и iptables, если не управлять ими должным образом с точки зрения установки, могут привести к "коллизиям" (непредсказуемым результатам). Решение этой проблемы, похоже, заключается в том, чтобы убедиться, что iptables-legacy установлен. Можно ли запустить NFT и iptables вместе, и если да, то в каком порядке будут применяться "таблицы" iptables (Mangle, Filter, NAT) по отношению к правилам таблиц NFT?
• IPVS способен реализовать балансировку нагрузки. В общем, это должно происходить до или после применения правил iptables к входящему пакету?
• Как во все это играет firewalld?
• Как работает приоритет в отношении SELinux и этих различных правил?

Для контекста, я недавно заметил, что некоторые правила iptables на системе, где был установлен NFT, не работали так, как ожидалось, и, несмотря на то, что в сети есть отличные диаграммы того, как цепочки iptables по умолчанию упорядочены относительно их резидентных таблиц, мне стало любопытно, как можно рассуждать об этих цепочках и их обходе при наличии других правил из NFT, IPVS, eBPF и так далее.