Meu host é protegido pela regra que permite tudo de saída e nada de entrada. Se eu fizer uma solicitação http para algum site, o servidor do site responderá a alguma porta do meu host, por exemplo, 48406.
Agora, a porta 48406 não é permitida na regra de entrada, por que os pacotes de resposta podem passar pela parede?
Como o firewall pode identificá-lo como parte de uma conexão estabelecida e permitida (porta de saída 80). Este é um requisito fundamental para um firewall, caso contrário você não conseguiria se comunicar, já que as portas de origem são geralmente aleatórias para esse tipo de conexão.