Мой хост защищен брандмауэром по правилу, которое разрешает все исходящие и никакие входящие. Если я сделаю http-запрос на какой-либо веб-сайт, сервер веб-сайта ответит на какой-то порт на моем хосте, например, 48406.
Теперь порт 48406 не разрешен во входящем правиле, почему ответным пакетам разрешено проходить через стену?
Потому что брандмауэр может идентифицировать его как часть установленного и разрешенного соединения (исходящий порт 80). Это фундаментальное требование для брандмауэра, иначе вы вообще не сможете общаться, поскольку исходные порты обычно случайны для такого рода соединений.