Faire un clear state à l'application des règles est tout simplement "idiot" car cela reset toutes les connexions traversant le firewall !
Le problème provient de la façon dont vous voulez montrer que la règle est appliquée je pense. Si vous avez une connexion ouverte et que vous appliquez une règle pour bloquer cette connexion alors celle-ci ne sera pas coupée immédiatement en raison de la politique de mise à jour des états du filtre de paquets. Dans tous les autres cas l'application doit être instantanée.
Vous pouvez jouer sur la gestion des états en la passant en mode "agressive".