NOVO é o estado em que a conexão é feita pela primeira vez. É comum ACEITAR todas as conexões ESTABELECIDAS e RELACIONADAS no início das regras do iptables para reduzir a carga de processamento. Regras subseqüentes determinam quais conexões NOVAS são permitidas com base no número da porta, etc. Para as duas regras acima, a primeira permitirá todo o tráfego na porta 80, enquanto a segunda só permitirá o aperto de mão inicial. Se a regra padrão fosse DROP, a segunda regra sozinha seria insuficiente para permitir a comunicação na porta 80.