stateless : пропустит любой входящий из интернета UDP пакет с source 53/udp (чем активно пользуются при сканировании)
statefull : пропустит только пакет от того DNS-сервера, к которому изнутри Вашей сети не ранее чем 5 минут назад был отправлен запрос
stateless : пропустит любой входящий TCP-пакет с флагом ACK с source портом из диапазона серверных разрешенных Вами ранее
statefull : пропустит только ответный пакет от того сервера, с которым кто-то изнутри Вашей сети сейчас ведет TCP-диалог
(все вышеприведенные примеры - утрированы)
