diff --git a/roles/base/templates/iptables/iptables.kojibuilder b/roles/base/templates/iptables/iptables.kojibuilder
index 0fd0015dfb..6c2136eee0 100644
--- a/roles/base/templates/iptables/iptables.kojibuilder
+++ b/roles/base/templates/iptables/iptables.kojibuilder
@@ -78,12 +78,26 @@
 -A OUTPUT -p tcp -m tcp -d 10.3.163.76 --dport 443 -j ACCEPT
 -A OUTPUT -p tcp -m tcp -d 10.3.163.77 --dport 80 -j ACCEPT
 -A OUTPUT -p tcp -m tcp -d 10.3.163.77 --dport 443 -j ACCEPT
-# for 2 facter auth (fas-all)
--A OUTPUT -p tcp -m tcp -d 10.3.163.74 --dport 8443 -j ACCEPT
--A OUTPUT -p tcp -m tcp -d 10.3.163.75 --dport 8443 -j ACCEPT
--A OUTPUT -p tcp -m tcp -d 10.3.163.76 --dport 8443 -j ACCEPT
--A OUTPUT -p tcp -m tcp -d 10.3.163.77 --dport 8443 -j ACCEPT
 
+# ipa client ports
+-A OUTPUT -p tcp -m tcp -d 10.3.163.54 --dport 389 -j ACCEPT
+-A OUTPUT -p tcp -m tcp -d 10.3.163.55 --dport 389 -j ACCEPT
+-A OUTPUT -p tcp -m tcp -d 10.3.163.104 --dport 389 -j ACCEPT
+-A OUTPUT -p tcp -m tcp -d 10.3.163.54 --dport 636 -j ACCEPT
+-A OUTPUT -p tcp -m tcp -d 10.3.163.55 --dport 636 -j ACCEPT
+-A OUTPUT -p tcp -m tcp -d 10.3.163.104 --dport 636 -j ACCEPT
+-A OUTPUT -p tcp -m tcp -d 10.3.163.54 --dport 88 -j ACCEPT
+-A OUTPUT -p tcp -m tcp -d 10.3.163.55 --dport 88 -j ACCEPT
+-A OUTPUT -p tcp -m tcp -d 10.3.163.104 --dport 88 -j ACCEPT
+-A OUTPUT -p udp -m udp -d 10.3.163.54 --dport 88 -j ACCEPT
+-A OUTPUT -p udp -m udp -d 10.3.163.55 --dport 88 -j ACCEPT
+-A OUTPUT -p udp -m udp -d 10.3.163.104 --dport 88 -j ACCEPT
+-A OUTPUT -p tcp -m tcp -d 10.3.163.54 --dport 464 -j ACCEPT
+-A OUTPUT -p tcp -m tcp -d 10.3.163.55 --dport 464 -j ACCEPT
+-A OUTPUT -p tcp -m tcp -d 10.3.163.104 --dport 464 -j ACCEPT
+-A OUTPUT -p udp -m udp -d 10.3.163.54 --dport 464 -j ACCEPT
+-A OUTPUT -p udp -m udp -d 10.3.163.55 --dport 464 -j ACCEPT
+-A OUTPUT -p udp -m udp -d 10.3.163.104 --dport 464 -j ACCEPT
 
 #nfs to vtap-fedora-nfs01.storage.phx2.redhat.com - a little to wide-open - but 
 # kinda necessary