radek_kovacik Já ti na tohle neumím odpovědět. Záleží na situaci. Ale čím víc se snažíš být "adresnější", tím víc hrozí, že někdy časem uděláš chybu. Je ovšem logické, že zakázat si třeba DNS obecně není dobrý nápad. Jsem to prohlášení pojal trochu široce ...
A pokud řešíš domácí firewall, tak je to většinou úplně fuk - stanice jsou na LAN straně v naprosté většině případů prostě ve switchi. Takže i obecné pravidlo se týká jen internetu.
Filtrování LAN provozu může řešit třeba všelijaké zařízení, které na internet nesmí. Nebo smí, ale jen někam (všelijako IoT třeba). Můžeš si tam hlídat třeba počet konexí, aby ti jeden počítač router nepřehltil (má to smysl hlavně u rádiových přípojek).
On default na doma může být fakt jednoduchý:
Na forwardu povolíš established,related (bez omezení), zakážeš ty invalid, povolíš pakety z LAN, z wan můžeš povolit konexe ve stavu DSTNAT a na konec vrazíš drop. Máš hotovo.
Na inputu uděláš to samé ... kromě toho dstnatu. Samozřejmě je vhodné to vylepšit alespoň povolením ICMP (extraextra důležité zvlášť pro IPv6).
Takto postavený firewall chrání sebe a interní síť. Předpokládá, že LAN je tvoje a není tam žádný šmejd.