Country Blocking & False Positives.

The obvious issue with "to" "from" is that most viruses don't setup an external port on your firewall for traffic to arrive "from". So they will send traffic "to" the listening server on the other side. This will often go over port 80/443/53,etc (common ports), so blocking "to" all of a sudden is important as you might not notice common traffic types going out to malicious listening nodes. China, russia, turkey, the U.S.A, etc are all hot spots for traffic to travel "to". DDoS attacks and the like will bring traffic in from all over the planet so blocking "from" helps in that case, however it's likely the connection, middleware or logging will come to a halt and blocking "from" will not matter anyway.

The obvious issue with "to" "from" is that most viruses don't setup an external port on your firewall for traffic to arrive "from". So they will send traffic "to" the listening server on the other side. This will often go over port 80/443/53,etc (common ports), so blocking "to" all of a sudden is important as you might not notice common traffic types going out to malicious listening nodes. China, russia, turkey, the U.S.A, etc are all hot spots for traffic to travel "to". DDoS attacks and the like will bring traffic in from all over the planet so blocking "from" helps in that case, however it's likely the connection, middleware or logging will come to a halt and blocking "from" will not matter anyway.