FireWallはこれを管理する用の専用のテーブルを持ってるんですよね。

「ステートフル・パケットインスペクション」とは、パケットの時間的な前後関係まで追跡し、TCP・UDPセッションに基づく正当な手順を踏んだパケットか、手続きを装った不正なものか見極め、不正なパケットの受信を拒否するパケット制限です。
3ウェイハンドシェイクでTCPセッションを確立するには、クライアントからサーバに対し「SYNパケット」を送り、それを受け取ったサーバは、そのクライアントとの接続を許可するなら「SYN/ACKパケット」を送信します。SYN/ACKパケットを受け取ったクライアントは、接続開始のために「ACKパケット」を送信しサーバとのセッションを確立します。

ステートフル・パケットインスペクション (1/3)：iptablesテンプレート集 改訂版（2） - ＠IT