Primero, la parte fácil:el cliente no necesita ninguna conexión entrante, ya que no recibe ninguna conexión (las hace él), por lo que puede bloquear todo lo entrante de forma segura.
Ahora para los salientes. El servidor en sí solo necesita TCP acceso en el puerto que está escuchando, por lo que si tiene un puerto fijo, simplemente ábralo (por defecto 1433 para una instancia predeterminada) y listo.
Pero dado que está utilizando puertos dinámicos, la configuración es un poco más difícil. Básicamente, "puerto dinámico" significa que el servidor escucha en un puerto "aleatorio" cada vez que se inicia, y el servicio de navegador SQL le dice a los clientes en qué puerto está escuchando cada instancia (esta es la configuración predeterminada para instancias con nombre).
Entonces, para esto, primero debe permitir las conexiones salientes al navegador SQL, que escucha en UDP 1434 . Ahora también necesitará la conexión de servidor normal como antes, que todavía está en TCP , pero esta vez el puerto es desconocido (ya que es aleatorio). Entonces, como mucho, la regla más restrictiva que puede hacer es permitir todos los puertos TCP, quizás también filtrados por el programa cliente (por ejemplo, ssms.exe) o por cualquier otro parámetro que admita su firewall.
