LittleSnitch est un pare-feu indépendant, pour les connexions sortantes exclusivement, et applicatif (il fait une distinction entre les logiciels à l'origine des connexions). Toutefois, certains programmes installés au niveau du système sont en mesure de contourner ce pare-feu (Parallels Desktop le fait, par exemple), et il convient d'installer un autre pare-feu pour gérer ce cas de figure.
WaterRoof n'est quant à lui qu'un front-end. Ce n'est pas un pare-feu, mais une simple interface de commande pour paramétrer le pare-feu IP natif de Mac OS X. En fait, on pourrait très bien s'en passer et ne recourir qu'à des lignes de commande dans Terminal, mais ce serait beaucoup plus fastidieux. Le pare-feu IP permet de gérer à la fois les connexions entrantes et sortantes.
Et pour répondre à ta question, tout dépend de l'usage et la configuration de ton Mac et de ton réseau local. Une stratégie de sécurisation se conçoit dans son ensemble, et pas sous la forme d'éléments indépendants : c'est une sorte de patchwork dont l'assemblage doit au final laisser le moins de trous possible.
Si pour sécuriser le Mac, la situation ne nécessite pas une stratégie impliquant de vérifier quel logiciel traite une connexion entrante (notamment parce que ces connexions sont déjà filtrées par ailleurs), alors tu peux te passer du pare-feu applicatif natif.
Mais dans le cas contraire ou en cas de doute, il est préférable de l'activer et de le paramétrer convenablement. Comme je le rappelais plus haut, « deux précautions valent mieux qu'une ».
