Čistě na proxmox iptables se mi nepodařilo rozjet škálování na více jader úplně korektně (zřejmě to rozděluje na jádra softwarově, což hodně degraduje výkon a při menším ddosu to zaflákne systém), takže já teď před servery dávám ještě extra mašinu jako router a stávající stroj bude jen jako záložní.
Otevřený porty považuju za problém, pokud tam byly desítky nabořených aplikací jako jsou defaultně ve windows, ale při instalaci jako server, je tam maximálně ssh (nebo alespoň v debian distribuci, zaškrtávám jen ssh server a nic jinýho než ssh skutečně neodpovídá). A možnost nastavit jádro samozřejmě je, ale bohužel asi ne ani v menu kompilace jádra, takže je zřejmě nutné upravit zdrojáky přímo (zrovna jsem teď dělal kompilaci, tak se můžu podívat).