Another guess would be that everytime you send a SYN packet to a server, this server is automatically added to the whitelist so when you try to connect on a website it automatically allow him to reply. Is there a way to do such a thing conveniently ?
É assim que a maioria dos firewalls com informações de estado já funcionam (por exemplo, roteadores domésticos porque são necessários para fazer NAT, mas também comuns em servidores).
Em iptables , isso é feito através do módulo conntrack ou sua versão simplificada state . Ambos os exemplos são equivalentes aos kernels modernos (embora eu acho que -m state foi necessário em 2.6.x dias).
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
Embora, IMHO, você também deve aceitar incondicionalmente pelo menos -p icmp e -p ipv6-icmp .
Em pf , manter o estado é o padrão para as regras pass (a menos que no state foi especificado).