Для работы веба в большинстве случаев достаточно:
1. DNS: UDP, dst=any:53
2. HTTP/HTTPS: TCP, dst=any:443/80
DNS нужен, чтоб преобразовывать имена доменов в IP адреса.
Адреса источника - вся локальная сеть, порты источника - любые. Локальные порты обычно динамические, там большая группа портов, конкретный диапазон динамических портов может зависеть от клиентской ОС, так что тут нет смысла как-то ограничивать.
По портам назначения могут быть дополнительные нюансы, в зависимости от сайтов. Это надо дополнительно анализировать для каждого конкретного сайта, если там что-то не будет работать.
Если у вас используются еще какие-то службы в интернете, то соответственно их нужно открывать отдельно.
Любые IP адреса не будут лезть в локальную сеть, только те куда ваши локальные устройства сначала отправят запрос (будет приходить ответ). Точнее они будут пытаться лезть, но дальше роутера не уйдут - там же у вас еще, видимо, NAT работает, вот он их и будет останавливать.
Простой
