Ответ 1
Из article, связанного с shdobxr, наиболее важная часть, касающаяся разницы между KLIPS и Netkey, выглядит следующим образом:
Когда вы применяете правила брандмауэра (iptables), KLIPS - это более простой случай, потому что с помощью KLIPS вы можете определить трафик IPsec, поскольку этот трафик проходит через интерфейсы ipsecX. Вы применяете правила iptables для этих интерфейсов так же, как вы применяете правила к другим сетевым интерфейсам (например, eth0).
При использовании NETKEY применение правил брандмауэра (iptables) намного больше сложный, поскольку трафик не проходит через интерфейсы ipsecX; один решение может маркировать пакеты в ядре Linux с помощью iptables (с правилом iptables setmark). Эта метка является членом ядра структура буфера сокета (struct sk_buff, из ядра Linux сетевой код); дешифрование пакета не изменяет эту метку.
Запись в 2014 году, все дистрибутивы linux теперь должны иметь ядро, которое поддерживает как KLIPS, так и Netkey.