Domandona riguardante di iptables... come minimo sarà una mia "brutta interpretazione"

Se io volessi droppare una porta non esplicitando direttamente il "--tcp-flags", il sistema dropperebbe tutti i pacchetti con tutti le flag possibili?

Inoltre da "man iptables" leggo:
--tcp-flags [!] mask comp
Match when the TCP flags are as specified. The first argument
is the flags which we should examine, written as a comma-sepa-
rated list, and the second argument is a comma-separated list of
flags which must be set. Flags are: SYN ACK FIN RST URG PSH ALL
NONE. Hence the command
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN
will only match packets with the SYN flag set, and the ACK, FIN
and RST flags unset.

Ora mi chiedo: che utilità ha avere il 1° parametro che definisce quali pacchetti esaminare e il 2° parametro che definisce quale pacchetto da settare? cioè una scrittura tipo iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN (come leggo da man) permette solo di girare pacchetti con flag SYN... allora perchè definire le altre flag se tanto sono "unset" ????

Grazie mille per eventuali risposte al mio dubbio universale :D

sigh :°( allora era proprio na domandone impozzibile :) ?