HTTP ausgehend auf zwei Ports zu beschränken hat keinen Sicherheitseffekt aber nervt in solchen Fällen. Und weißt du, dass da nur HTTP rausgeht auf den Ports? Eben. Wenn ihr in HTTP reinschauen wollt, braucht ihr eh einen Proxy der TLS aufmacht, da habt ihr nochmal ganz andere Sorgen mit den Clients die keine Desktops sind.
Aber, es is wie es is und du wirst es nicht ändern, deswegen bau dir eine Automatisierung für die FW-Regeln wo du eine Liste von Ausnahmen reinwirfst und ab da ist sowas minimaler Aufwand, fertig.