Я же тебе писал уже. Как ты это себе представляешь? Если не знаешь как работает сеть - изучи, чтобы не писать глупостей. На пакете не написано и не может быть написано, от какого доменного имени он пришёл.
И да, iptables и nftables это не файрволлы а синтаксисы команд для файрволла. Файрволл в обоих случаях один и тот же, переходить там не на что.
Разница в ядре применилась после апдейта ядра, теперь iptables ведёт в новый файрволл всё равно. Можно создавать правила через nftables и видеть их через iptables и наоборот. Просто старый файрволл поддерживал только iptables api а новый оба варианта.
Если у тебя юзерспейсный iptables это прослойка для совместимости (*-translate), то да. При этом надо понимать, что не все фичи iptables транслятор прожуёт, как и не все фичи nftables доступны через него. Но если используются классические утилиты, что тоже не редкость, то в таблицах nft будет пусто.