Tout d'abord, la partie la plus simple :le client n'a besoin d'aucune connexion entrante, car il ne reçoit aucune connexion (il les établit), vous pouvez donc bloquer en toute sécurité tout ce qui est entrant.
Maintenant pour les sortants. Le serveur lui-même n'a besoin que de TCP accès dans le port qu'il écoute, donc si vous avez un port fixe, il vous suffit de l'ouvrir (par défaut 1433 pour une instance par défaut) et vous êtes prêt à partir.
Mais puisque vous utilisez des ports dynamiques, la configuration est un peu plus difficile. Fondamentalement, "port dynamique" signifie que le serveur écoute sur un port "aléatoire" à chaque démarrage, et le service SQL Browser indique aux clients sur quel port écoute chaque instance (il s'agit de la configuration par défaut pour les instances nommées).
Donc, pour cela, vous devez d'abord autoriser les connexions sortantes au navigateur SQL, qui écoute sur UDP 1434 . Maintenant, vous aurez également besoin de la connexion normale au serveur comme auparavant, qui est toujours à TCP , mais cette fois le port est inconnu (puisque c'est aléatoire). Ainsi, tout au plus la règle la plus restrictive que vous pouvez établir est d'autoriser tous les ports TCP, peut-être également filtrés par le programme client (ssms.exe par exemple) ou par tout autre paramètre pris en charge par votre pare-feu.
