Замена net_cls на nftables

В настоящее время я использую net_cls cgroup, чтобы классифицировать пакеты из процесса, а затем изменить их с помощью iptables. По мнению парней из ядра и systemd, net_cls устарела, а другие инструменты, такие как nftables, должны делать то же самое. Я проверил nftables и похоже, что я могу использовать совпадения cgroups (iptables в этом отношении тоже может сработать), но мне неясно, какой будет моя cgroup. У кого-нибудь есть намеки на то, что это за cgroup? Нужно ли создавать его? Могу ли я использовать существующий из systemd или что-то?