Първо лесната част:клиентът не се нуждае от входяща връзка, тъй като не получава никаква връзка (той ги прави), така че можете безопасно да блокирате всичко входящо.
Сега за изходящите. Самият сървър се нуждае само от TCP достъп до порта, който слуша, така че ако имате фиксиран порт, просто го отваряте (по подразбиране 1433 за пример по подразбиране) и сте готови.
Но тъй като използвате динамични портове, настройката е малко по-трудна. По принцип „динамичен порт“ означава, че сървърът слуша на „произволен“ порт всеки път, когато стартира, а услугата на браузъра SQL казва на клиентите кой порт слуша всеки екземпляр (това е настройката по подразбиране за наименувани екземпляри).
Така че за това първо трябва да разрешите изходящи връзки към SQL браузъра, който слуша UDP 1434 . Сега ще ви е необходима и нормалната връзка със сървъра, както преди, която все още е на TCP , но този път портът е неизвестен (тъй като е произволен). И така, най-много най-рестриктивното правило, което можете да направите, е да разрешите всички TCP портове, може би също филтрирани от клиентска програма (ssms.exe например) или от друг параметър, който поддържа защитната ви стена.