Är detta "hack" false possitiv?

Det står ju varför adressen inte är blockerad - det är möjligt att den är "spoofad" d.v.s fake, eller att det möjligtvis är en nod i ett botnät som attacken utfördes via. Det är alltså inte den person som ligger bakom attacken som har den där adressen - utan någon helt oskyldig.

Ditt skydd gjorde precis det som det var skapat att göra - skydda dig och avbryta försök att ansluta till dig utifrån.

De verkar onekligen som om portarna inte är stängda.
Antingen det eller så är det någon annan burk på ditt LAN som försöker attackera med en spoofad ip.

Du får väl testa genom att utifrån att skicka paket på portarna för att se om de droppas av din router eller når din server.

Att du får timeout betyder bara att det inte är någon som svarar, det säger egentligen inget om porten är blockad eller inte.
Har du verkligen en firewall-regel som explicit blockerar TCP/60152?

Vad jag tror det är vi ser är slutet på en TCP-session som du har satt upp mot 185.76.9.169.
Din dator har släppt socketen men din router håller fortfarande kvar adressen i sin NAT-tabell.
Dvs en "false poistive" om du så vill.

Jag skulle tro att den öppnar för de portar som dina utgående sessioner använder. Annars skulle det funka ganska dåligt.

Om du från dina dator sätter upp TCP src=192.168.1.10:60152 till 185.76.9.169:80 så lär routern tillåta inkommande paket med dst=192.168.1.10:60152