GeoIP blocking problems understanding

Hi
I played around with the configuration of GeoIP blocking and here is a quick info of what I did and my conclusions.

Case:
Allow all outbound traffic to a given country, but block all incoming traffic, say port scanning from that given country. In this example I tested with USA.

1) First I made sure that port 443 and port 80 was reachable from the outside. I verified this with "ShieldsUp" located at www.grc.com. It reported port 80 and 443 open. Also verified locally from a secondary internet connection and through 3g on my cellphone.
2) Enabled GeoIP blocking, choosing "all" for USA. Verified that I couldn't get either out or in from USA. (I'm located in a totally different country, and the open ports where reachable from that location).
3) Changed GeoIP setting to "to" for USA. Unable to reach www.grc.com, but other geographical locations where reachable.
4) Changed GeoIP setting to "from", and www.grc.com was reachable. This was traffic going TO so this makes sense. I initiated a port scan through Shieldsup, and it didn't find any open ports. Traffic coming FROM usa is blocked, as expected. At the same time I verified that my open ports was reachable from the same geographical location I am located in.

Conclusion:
To enable to not interfere with web browsing, mail delivery, etc. limit GeoIP blocking to "From". Since the traffic is initiated from the inside you'll be able to surf to locations restricted by GeoIP blocking. 
The setting "ALL" blocks both incoming and outbound traffic and "To" limits only outbound traffic. 
On a side note GeoIP blocking with "To" could be beneficial to block  malicious traffic in case you would like to block software that "calls home".

I hope this information will be of benefit for other than me.

/Andy

Hi
I played around with the configuration of GeoIP blocking and here is a quick info of what I did and my conclusions.

Case:
Allow all outbound traffic to a given country, but block all incoming traffic, say port scanning from that given country. In this example I tested with USA.

1) First I made sure that port 443 and port 80 was reachable from the outside. I verified this with "ShieldsUp" located at www.grc.com. It reported port 80 and 443 open. Also verified locally from a secondary internet connection and through 3g on my cellphone.
2) Enabled GeoIP blocking, choosing "all" for USA. Verified that I couldn't get either out or in from USA. (I'm located in a totally different country, and the open ports where reachable from that location).
3) Changed GeoIP setting to "to" for USA. Unable to reach www.grc.com, but other geographical locations where reachable.
4) Changed GeoIP setting to "from", and www.grc.com was reachable. This was traffic going TO so this makes sense. I initiated a port scan through Shieldsup, and it didn't find any open ports. Traffic coming FROM usa is blocked, as expected. At the same time I verified that my open ports was reachable from the same geographical location I am located in.

Conclusion:
To enable to not interfere with web browsing, mail delivery, etc. limit GeoIP blocking to "From". Since the traffic is initiated from the inside you'll be able to surf to locations restricted by GeoIP blocking. 
The setting "ALL" blocks both incoming and outbound traffic and "To" limits only outbound traffic. 
On a side note GeoIP blocking with "To" could be beneficial to block  malicious traffic in case you would like to block software that "calls home".

I hope this information will be of benefit for other than me.

/Andy

Thank you for your detailed investigation.
There is an assumption that you know where "malicious software home" is?

Ian