Em iptables, o estado ESTABLISHED requer um estado posterior NEW para fazer uma conexão ESTABLISHED?

Normalmente, o estado NEW será usado para filtrar casos que você não deseja ver como o primeiro pacote de um fluxo.

Por exemplo:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

Largará tudo que não se parece com um pacote SYN do TCP válido.

Se o seu caso de uso permitir que o mundo se conecte à porta do servidor 443, permita que o servidor responda e a conexão seja estabelecida, você precisará adicionar a segunda regra, mas o estado NEW não é obrigatório .

Assim, sua configuração pode ser:

iptables -P INPUT DROP
iptables -P OUTPUT DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW --dport 443 -j ACCEPT 

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Ou

iptables -P INPUT DROP
iptables -P OUTPUT DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT 

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Ou (melhor)

iptables -P INPUT DROP
iptables -P OUTPUT DROP

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT 

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Seria o suficiente apenas fazer:

iptables -A INPUT -p tcp --dport 443 -j ACCEPT 

É claro que, por não aceitar conexões, você já precisa ter a política definida como DROP ou ter uma regra para DROP todo o resto.