Сергей Сахаров

1. Клиент за всё отвечает сам.
2. Через .rc не ломают, дефолтовые настройки норм.
3. Вы должны представлять, какие службы крутятся на VPS и на каких именно портах.
4. Иногда техподдержка хостера предоставляет доп услуги - типа "снять снапшот или образ ВМ/ откатить систему на предыдущее заранее сохранённое состояние". Если и нет, образ можно снять самостоятельно. Более того, образ не обязательно ставить с дистриба - накатить заранее сохранённый образ из Acronis/Norton Ghost обычно тоже можно. Да хоть dump/restore использовать.
5. Можно использовать нестандартные порты - типа ssh на порту 3128 или 8022 например.
6. В отличие от *bsd разные версии linux позволяют заходить под рутом. Это надо сразу отключать.
7. И разумеется, чем меньше служб - тем меньше точек для взлома. php_fpm и mariadb могут работать через socks, не занимая сетевые интерфейсы (даже интерфейс обратной петли). Частый метод взлома - sql-иньекция, так что надо ограничить доступ к sql и проверять вводимые данные.

nginx умеет слушать порты 80 и 443 - и даже делать редирект с 80 на 443
Так что Вы либо nginx выставляйте наружу, либо пробрасывайте на него ОБА порта, как товарищ выше подсказывает.

Мой вариант с пробросом портов:

Если у Вас выбор порта зависит от типа сервиса - да, проблема может быть с роутером, если он не даёт пробросить именно 443 порт. А так - тип сервиса можно указать любой, главное - правильный порт указать.

Всем спасибо! Как и предполагал, подошла типовая rtl8168



Теперь разбираюсь, как настроить ВЛАН и повесить другую сеть.