Как я могу использовать nftables с прозрачным мостом, как с iptables?

У меня есть сервер под управлением Debian с двумя сетевыми интерфейсами. Этот сервер расположен между маршрутизатором ISP и остальной частью локальной сети. Одна сетевая карта подключена к внутреннему коммутатору модема ISP, а другая сетевая карта подключена к локальной сети. Два сетевых адаптера соединены вместе как интерфейс br0.

В Debian 9 я использовал iptables, поэтому этот мост был настроен как прозрачный брандмауэр, который также отправлял пакеты, которые принимались дальше в Suricata через nfqueue. (Сервер действовал как устройство plug'n play между Интернетом и моей локальной сетью, имея при этом удобство одной локальной сети, без дополнительного маршрутизатора, поскольку я не могу управлять модемом / маршрутизатором интернет-провайдера)

[Маршрутизатор ISP] <----> [eth0-> br0<-eth1] <-----> LAN

Debian 10 перешел на nftables, что кажется отличным, за исключением того, что я не уверен, как действовать в отношении некоторых моих правил iptable. Я читал nftables, как работать с вики, и много гуглил.

1) Насколько я смог найти, семейство "мостов" в nftables ограничено и пока не позволяет отправлять пакеты в nfqueue?

2) Я "вынужден" использовать семейство мостов (которое равно ebtables), но с iptables я мог бы использовать Physdev. Например (IPS - это очередь в Suricata):

iptables -A FORWARD -m Physdev --physdev-is-bridged --physdev-in eth1 -s 192.168.0.0/24 -j IPS

Похоже, что стандартное семейство "ip" не может видеть пакеты с мостом... что я считаю нормальным, но семейство мостов кажется ограниченным в том, что я мог делать в iptables.

Приветствуется любое мнение о том, как эта установка может работать. Нет ли другого пути с nftables, и мне нужно что-то делать с семейством мостов, кроме входящего и исходящего трафика на сам сервер (например, ssh)?