O contador do estado de verificação é sempre zero

Minhas regras de firewall são:

00010      660      73050 allow ip from any to any via lo0
00011        0          0 deny ip from any to 127.0.0.0/8
00012        0          0 deny ip from 127.0.0.0/8 to any
00013        0          0 check-state
00100      131       4192 deny ip from any to any via sis0 keep-state

e assim por diante.

Por que o contador check-state é sempre zero? Eu pensei que essa regra deveria corresponder a regras dinâmicas. E tenho certeza de que existem.