Jde o to, že klasicky se konfiguruje firewall jako stavový, to znamená, že sleduje jednotlivá spojení a obvykle je někde na začátku zadáno povolení již navázaných (--state ESTABLISHED) spojení. Takže stačí přidat explicitní povolovací pravidlo pro ten směr, ve kterém je žádoucí spojení navazovat. O všechny následující pakety daného spojení v tomto i opačném směru se pak postará uvedené pravidlo stavového firewallu. Protokol TCP samozřejmě bez obousměrné průchodnosti nikdy nenaváže spojení.
Pro zjištění, co se vlastně děje ve firewallu se hodí počítadla, co jsou vidět ve výpisu iptables -L -v.