iptables ESTABLISHED,RELATED 与 DNS 规则结合

iptables我正在阅读《小型网络的网络安全》（Seth Enoka）第 3 章，并在 Ubuntu 22.04.1 虚拟机中添加了以下规则：

# Generated by iptables-save v1.8.7 on Fri Sep 30 12:58:31 2022
*filter
:INPUT DROP [454:44400]
:FORWARD DROP [0:0]
:OUTPUT DROP [129:7740]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
COMMIT
# Completed on Fri Sep 30 12:58:31 2022

VM 运行桥接适配器，主机连接到路由器。该书现在声称，如果要将输出连接到 80/443，则需要其他规则：

iptables -A OUTPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

但是我无法确认这一说法，或者只能部分确认。当不使用上述 80/443 规则时，与 IP 地址的 HTTP 连接确实会超时。但是，当将它们与 DNS 一起使用时，它们会被接受：

$ curl ip.me
<ipv6 address given>
$ curl 212.102.35.236  # resolved by dig
<times out>

在我看来，这些 HTTP 请求被标记为 RELATED，因此规则隐式允许RELATED,ESTABLISHED。由于目标是仅允许某些端口和服务，在这种情况下是否应该删除此包罗万象的规则？或者还有其他解决方案吗？

注意：应用规则后，我会conntrack -F刷新所有现有连接。