Firewall Stateless
O modo de filtragem ‘Stateless’ tende a tratar cada pacote roteado pelo firewall como pacotes individuais, que não tenham associação alguma com qualquer outro tráfego que também estiver passando pela dada interface do firewall. Esse tipo de filtragem é o mais comum e o mais fácil de implementar.
Uma conexão é sempre bidirecional, assim devemos criar regras para que o host remetente possa enviar pacotes para o host destinatário e vice-versa, pois o host destinatário necessita enviar pacotes de resposta ao host remetente para estabelecimento de conexões.
Firewall Stateful
O modo de filtragem ‘Statefull’ ou dinâmico permitem tomar sua decisão baseada em decisões ou pacotes anteriores. Com um filtro statefull é possível tomar uma decisão como “vou deixar este pacote de dados passar porque a origem completou corretamente o handshake TCP”. Para que ele tome esta decisão é necessário que ele tenha visto o handshake e armazenado esta informação para lembrar-se dele posteriormente. Isso faz com que uma máquina com filtro statefull em execução necessite de mais recursos de processamento.
Como uma conexão é bidirecional, após o handshake TCP entre dois hosts ocorrer e os próximos pacotes participantes dessa conexão chegarem tanto da origem como do destino , simplesmente serão aceitos sem a necessidade de estarmos criando regras adicionais como acontece na filtragem de pacotes stateless.
FONTE: http://pazande.wordpress.com/2011/09/21/gnulinux-linux-firewall-stateless-e-stateful/