Isso é disperso a partir de consultas que você enviou, mas que não foram respondidas a tempo para o seu firewall com monitoramento de estado reconhecê-las como parte de seu próprio tráfego.
Para o tráfego UDP, todo firewall com informações de estado deve lembrar qual tráfego outbound foi visto, de modo que quando o tráfego retornar é visto, ele sabe que faz parte do mesmo fluxo e é então permitido.
Após um curto período de tempo (ou se ficar sem entradas de tabela de estado), ele expira os registros dos fluxos de saída.
Se o pacote de retorno for muito tarde, o firewall pode ter esquecido o tráfego de saída original, portanto, ele acha que o pacote de entrada faz parte de um novo fluxo de entrada (e não solicitado) e o bloqueia.
É muito comum, nada para ver aqui, etc., etc.