Якщо цікаво, то в мене на тодішньому сервері під віндовс був встановлений поштовий клієнт і це були всі можливості, що дозволяла моя локалка. Я не налаштовував свій сервер як шлюз, також орієнтувався в можливостях моїх користувачів, тому вважав що глибших налаштувань файрвола не потрібно, але якийсь точно був, ще з UI.

З файрволом більше познайомився згодом, коли підробляв на іноземній фірмі "старшим куди пошлють", і в перервах між іноземними перекладами, організацією представницьких зустрічей, відрядженнями по Україні й за кордон примудрився ще й адмініструвати сервер (спочатку на ASP Linux, пізніше на FreeBSD). Там вже був поштовий сервер (qmail), файл-сервер (samba) і проксі для користувачів (squid). Від початку читав всі логи, створював abuse комплейни через різні спроби проникнення, налаштовував не дуже складні правила на файрволі (iptables, потім ipfw, також така дуже корисна штука як fail2ban).

Для початку, як саме організована мережа?

Якщо це простий мережевий світч без адмінки, до якого ваш "сервер" під'єднано в той же спосіб, що й інших користувачів, тоді у вас є можливість впливати лише на пакети, що проходять через "сервер" в якості шлюзу. На дії користувачів стосовно інших комп'ютерів мережі у вас впливу нема.

Якщо ж, умовно кажучи, у вас (1) світч із адмінкою, або ж (2) повноцінний сервер-стійка з великою кількістю мережевих карт, і всі з'єднання підлягають адмініструванню, тоді є багато можливостей.

Розгляну варіант (2) у спрощеному вигляді: тобто у вас є звичайний комп під віндовс із двома мережевими картками, одна з них це аплінк до провайдера, інша - для під'єднання до комп'ютера користувача. Ваш комп налаштований як шлюз, тобто всі мережеві дії користувача проходитимуть через ваш комп. Встановлюється будь-який файрвол з UI, або ж використовується дефолтний. Вмикається режим навчання (принаймні таке пригадую за моїх давніх часів) і всі нові з'єднання очікують підтвердження. Далі, наприклад, у вас є на сервері pop3/imap/smtp сервер, а назовні такі з'єднання ви не хочете дозволяти. Тоді просто: при першій спробі з'єднання користувача з вашим локальним pop3/imap/smtp ви це дозволяєте, а при спробі з'єднання користувача з зовнішнім pop3/imap/smtp - забороняєте. Собі самому дозволяєте з'єднання з зовнішнім pop3/imap/smtp, бо серверу потрібно ж буде якось надсилати і отримувати пошту.

Це дуже примітивно описав, однак суть, думаю, зрозуміла - заборонити все і дозволяти лише те, що справді необхідно. Це і є бест практіс, з того що мені відомо.