LDAP usa o TCP 389 para comunicação não segura e 636 para comunicação segura.
A client starts an LDAP session by connecting to an LDAP server, called a Directory System Agent (DSA), by default on TCP port 389.
e
A common alternate method of securing LDAP communication is using an SSL tunnel. This is denoted in LDAP URLs by using the URL scheme "ldaps". The default port for LDAP over SSL is 636.
Em termos de firewall, você precisará permitir o acesso a essas portas da interface "Externa" do firewall para a interface "Confiável". Se você estiver usando um NAT, talvez seja necessário adicionar a regra ao IP público e ao IP da LAN.
Você não precisa encaminhar nenhuma porta, mas precisará permitir a comunicação da seguinte forma:
permit tcp any x.x.x.x 0.0.0.0 389
permit tcp any x.x.x.x 0.0.0.0 636
Onde você permite qualquer IP de origem em qualquer porta de origem que tenha sido desimpedida para seu servidor em uma porta específica.
Você também deve permitir conexões estabelecidas, em dispositivos Cisco, parece que permit any established permitirá a resposta do servidor para fora do firewall. A maioria dos firewalls normalmente faz essa coisa estabelecida por padrão (na minha experiência), então se você tiver um firewall dedicado, isso não deve ser um problema.