Bem, parece que você precisa ler bem o tipo de tráfego que está cruzando sua rede. Para isso, configure uma porta espelhada em um de seus switches, conecte um PC a ela e ative o Wireshark . Depois de receber uma captura de pacotes, você poderá ver facilmente o que está acontecendo.
Ao fazer esse tipo de trabalho, normalmente começo de uma perspectiva "negar tudo". Suponha que você esteja bloqueando tudo e, em seguida, faça uma lista de quais aplicativos precisam ser acessíveis por meio do firewall e quais regras permitirão para cada uma delas.