[tagem]

Обычно на интерфейсе, который смотрит наружу (в Инет) прикрываются ВСЕ порты, кроме необходимых для доступа внутрь (типа 22 для ssh, 3389 для терминального клиента и т.п.). Для внутреннего интерфейса обычно все порты разрешены, если доверяешь своим пользователям, если нет - закрываешь все и открываешь по мере необходимости - 80, 443, 53 (ДНС, если керио не работает в качестве прокси - давно винду не юзал), 137-139 (SMB-протокол, если со шлюза чего надо по сети забрать-залить), ну и т.д.