Todos os firewalls baseados em roteador que usei estão configurados para
- Permitir conexões TCP iniciadas internamente para qualquer número de porta externa.
- Permitir respostas a qualquer conexão estabelecida válida.
O último faz parte da "inspeção de pacotes com monitoração de estado". O roteador / firewall rastreia o estado das conexões TCP ativas.
Normalmente, você não precisa permitir explicitamente respostas a portas de entrada recém-abertas.
Por exemplo, quando eu configuro um roteador para permitir o tráfego de entrada para a porta de destino 22 para SSH, não preciso especificar nenhuma regra adicional referente às respostas (da porta de origem 22 para qualquer destino porta #).