Чтобы исключить из сетевого окружения сервак ИМХО хватит залокировать на нем порты 137-139 по UDP (ну и по TCP на всякий слачай :) ) - это закроет NetBIOS
почта - SMTP и POP3 - 25 и 110 порт TCP соответственно
ФТП использует 20 и 21 TCP
21 - должен быть открыт на вход - это контрольное соединение, с 20 порта - отправляет данные клиентам.
Гофер - 70 - TCP
где обитает terminal servies - не знаю
чтобы разрешить доступ изнутри - открой вышеуказанные порты на внутреннем адресе (если сетка серая), если не - то только для доступа с выделенного для юзеров ip-диапазона.
точнее какие адреса у отправителя и получателя кому как не тебе лучше знать :)
если сетка не серая то для защиты из вне - закрой все входящие на внутренние адреса сети от адресов не входящих туда