TL; DR, да, это означает, что если вы делаете исходящее соединение, то служба, к которой вы подключились, может ответить. Однако они не могут подключаться к вам без запроса, если только вы не настроите правила переадресации портов, чтобы они могли это делать.
Во-первых, вы путаете асимметричный NAT с Stateful Packet Filtering. NAT на самом деле ничего не брандмауэр, он просто позволяет переводить порты из источника в пункт назначения. SPF отвечает за разрешение только запрашиваемых ответов на трафик.
TCP является протоколом, ориентированным на соединение, в котором обе стороны передачи согласовывают и поддерживают виртуальное соединение (поток связанных пакетов, так что порядок пакетов может поддерживаться, даже если они поступают не по порядку, искаженные или отсутствующие пакеты легко заметить, поэтому можно запросить повторную отправку и выполнить операции управления потоком, чтобы убедиться, что трафик не вызывает слишком большой перегрузки).
Эта ориентация соединения позволяет брандмауэру сообщать, запрашивает ли данный пакет новое соединение или часть существующего и установленного.
Обычно SPF настроен на разрешение всех попыток исходящего соединения и позволяет удаленным серверам, к которым было предпринято соединение, отвечать внутри канала в этом соединении (например, пакет приходит из правильного источника на правильном порту, имеет SYN/ Флаги ACK установлены правильно и имеют правильные значения SYN и ACK) для прохождения через NAT.
Что SPF обычно НЕ разрешает, так это удаленный сервер, инициирующий соединение со службой внутри стены NAT. Таким образом, вы можете запросить ресурсы удаленных серверов, и он может отправить их вам, но удаленный сервер не может запросить ваши ресурсы.
Переадресация портов или назначение NAT позволяет вам настроить службу так, чтобы внешние серверы могли инициировать подключения к ней для запроса ресурсов. Вы хотите сделать это только в случае крайней необходимости, так как это открывает сервис для потенциальных атак.
Обратите внимание, что в PortForwarding, даже если у вас есть порт, настроенный для предоставления внутренней службы, вы все равно должны разрешить этот порт через брандмауэр в качестве входящего соединения.
Что касается того, что вы видите в Skype и брандмауэре Windows, когда он говорит "заблокировать все входящие соединения", это означает, что он не позволит удаленному серверу создать нежелательное соединение с вашей коробкой. однако это НЕ означает, что он будет блокировать ответы, которые являются частью соединения, инициированного с вашего ПК, поэтому Skype может подключаться к серверам Skype, и эти серверы могут отвечать как часть этого соединения.
надеюсь, это поможет.
