Filter Iptables状态

我正在尝试阻止外部网络启动与TCP和UDP的内部网络的连接。我的想法是使用状态。我不确定不同州的手册页是什么意思

“新建”表示数据包已启动新连接，或与未在两个方向上看到数据包的连接相关联“手册页

NEW跟踪握手吗？如

客户端1-同步->客户端2新建
客户1客户2已建立

-或-

客户端1-同步->客户端2新建
客户端1客户端2新建
客户端1客户端2新建
客户1客户2已建立

-或-

客户端1-MSG1->客户端2新建

---

client1我还没有测试UDP，但是对于TCP，一旦发送了SYN数据包，连接就建立起来了

客户端1-同步->客户端2新建
客户1

-A FORWARD -p tcp -m state --state NEW ! -s 192.168.1.0/24 -j DROP
-A FORWARD -p tcp -m state --state ESTABLISHED ! -s 192.168.1.0/24 -j DROP
-A FORWARD -p tcp -m state --state NEW,ESTABLISHED -s 192.168.1.0/24 -j ACCEPT

client1 -SYN-> client2 NEW
client1 <-SYN,ACK- client2 ESTABLISH
client1 -ACK-> client2 ESTABLISHED

$IPTABLES -A INPUT -p tcp -s 192.168.1.0/24 --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset 
$IPTABLES -A INPUT -p tcp -s 192.168.1.0/24 ! --syn -m state --state NEW -j DROP
$IPTABLES -A allowed -p TCP -s 192.168.1.0/24 --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -s 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -s 192.168.1.0/24 -j DROP