- Entrante bloqueado por defecto: esto quiere decir que ante un intento de inicio de conexión TCP desde un PC que se encuentre en el exterior el firewall directamente tira los mensajes TCP que le lleguen. Parecido ocurre con UDP, todo lo que le llegue UDP desde el exterior a un puerto no abierto lo tira. Si no se puede hacer conexión en TCP no se puede establecer comunicación. Con UDP parecido pero en este protocolo no se hace conexión ninguna.
- Saliente permitido todo por defecto: no aplica ninguna política de restricción de tráfico, directamente encamina los datagramas IP y los envía a Internet. Cuando te conectas al puerto http de un servidor pondrás en la cabecera TCP puerto origen XXXX (es aleatorio, de los que te dé el Sistema Operativo) pueto destino 80. Por el router saldrás con un puerto origen que será YYYY (no tiene por qué ser con el que sales desde el PC) y puerto destino sigue siendo el 80. Al comienzo de la conexión http se establece una conexión TCP (simplificando...) y a partir de aquí todo el tráfico entre el servidor y tú llevará este camino:
SERVIDOR hacia ROUTER: puerto origen 80 puerto destino YYYY
ROUTER hacia PC: puerto origen 80, puerto destino XXXX (del PC)
Desde el PC al servidor al revés como dije. Lo que hace el router cuando estableces una conexión TCP es guardar en memoria por tanto los siguientes datos de tu conexión:
LAN WAN
PUERTO DESTINO 80 80
PUERTO ORIGEN XXXX PUERTO ORIGEN YYYY
IP origen: 192.168.X.X IP pública: la que te de el ISP
IP destino: la de google IP destino: la de google
NOTA: a esto se le llama PNAT (NAT de puertos) como ves desde el PC sales con un puerto y una IP; pero por Internet el puerto será el que le de la gana al router la IP la que te de el DNS del ISP. De ahí que si quieres montarte un servidor debas hacer por tí mismo una configuración explícita de esta traducción que automáticamente el router siempre hace.
Con estos datos el router sabrá que todo tráfico TCP que tengas desde el sevidor hacia el PC con la IP destino la que te de el ISP, puerto destino YYYY, IP origen la de google, puerto origen 80 será permitido y redirigido al PC de LAN con IP origen 192.168.X.X y puerto origen XXXX
Saludos!!!!
NOTA: Espero que con esto te aclares, la verdad es que yo no me prodigo mucho en explicaciones (la enseñanza no es lo mío) De todas formas consulta libros sobre redes de computadores, o simplemente en google teclea "teoría de NAT" o algo por estilo, porque documentación sobre esto hay a patadas.