Sintaxe iptables moderna para especificar uma nova conexão

De man iptables-extensions:

Estado

A extensão "state" é um subconjunto do módulo "conntrack". "state" permite o acesso ao estado de rastreamento de conexão para este pacote.

[!] --estado estado

onde estado é uma lista separada por vírgulas dos estados de conexão a serem correspondidos. Apenas um subconjunto dos estados compreendidos por "conntrack" são reconhecidos: INVÁLIDO, ESTABELECIDO, NOVO, RELACIONADO ou NÃO RASTREADO. Para sua descrição, veja o título "conntrack" nesta página de manual.

[...]

acompanhar

Este módulo, quando combinado com rastreamento de conexão, permite acesso ao estado de rastreamento de conexão para este pacote/conexão.

[!] --ctstate statelist

statelist é uma lista separada por vírgulas dos estados de conexão a serem correspondidos. Os estados possíveis estão listados abaixo. [...]

[...]

tcp

Essas extensões podem ser usadas se `--protocol tcp' for especificado. Ele oferece as seguintes opções:

[!] --sin

Apenas corresponda os pacotes TCP com o bit SYN definido e os bits ACK,RST e FIN apagados. Esses pacotes são usados ​​para solicitar o início da conexão TCP; por exemplo, bloquear esses pacotes que chegam em uma interface impedirá as conexões TCP de entrada, mas as conexões TCP de saída não serão afetadas.

Portanto, os dois primeiros são equivalentes, o último faz algo diferente (você pode usá-lo para bloquear tentativas de conexão TCP, por exemplo).