TL; DR, sim, isso significa que, se você fizer uma conexão de saída, o serviço ao qual você se conectou pode responder. Eles não podem se conectar a você não solicitados, a menos que você configure as regras de encaminhamento de porta para permitir.
Primeiro, você está confundindo o NAT assimétrico com a filtragem de pacotes com estado. NAT realmente não firewall nada, só permite que as portas sejam traduzidas da origem para o destino. O SPF é responsável por permitir apenas respostas solicitadas ao tráfego.
TCP é um protocolo de conexão orientado, em que ambos os lados da transmissão negociam e mantêm uma conexão virtual (um fluxo de pacotes que estão relacionados, de modo que a ordem dos pacotes pode ser mantida mesmo se eles chegarem fora de ordem, malformados ou pacotes ausentes são facilmente notados, portanto, um reenvio pode ser solicitado e pode executar operações de controle de fluxo para garantir que o tráfego não cause muito congestionamento).
Esta orientação de conexão permite que o firewall determine se um determinado pacote está solicitando uma nova conexão ou parte de um existente e estabelecido.
O SPF é geralmente configurado para permitir todas as tentativas de conexão de saída e para permitir que os servidores remotos a quem foi feita uma conexão respondam em banda dentro dessa conexão (por exemplo, o pacote vem da fonte certa na porta certa, tem sinalizadores SYN / ACK definidos corretamente e tem os valores SYN e ACK corretos) para passar pelo NAT.
O que o SPF geralmente NÃO permite, é um servidor remoto que inicia uma conexão com um serviço dentro da parede do NAT. Assim, você pode solicitar recursos de servidores remotos e enviá-los para você, mas o servidor remoto não pode solicitar seus recursos.
O encaminhamento de porta ou NAT de destino permite que você configure um serviço para que os servidores externos possam iniciar conexões para solicitar recursos. você só quer fazer isso se for absolutamente necessário, pois abre o serviço para possíveis ataques.
Note que com o PortForwarding, mesmo depois de ter uma porta configurada para expor seu serviço interno, você ainda deve permitir essa porta através do firewall, como uma conexão de entrada.
Quanto ao que você está vendo com o Skype e o firewall do Windows, quando ele diz "bloquear todas as conexões de entrada", isso significa que ele não permitirá que um servidor remoto crie uma conexão não solicitada para a sua caixa. Entretanto, isso NÃO significa que ele bloqueará as respostas que fazem parte de uma conexão iniciada a partir do seu PC, portanto, o Skype pode se conectar aos servidores do Skype e esses servidores podem responder como parte dessa conexão.
espero que ajude.