Egy két javaslat és észrevétel.
Ez a leírás IPv4 only. Erre jó ha mindenki figyel.
sysctl.conf beállitásoknál én engedélyezném még a következőket
#reverse pass filter bekapcsolása
#azt nézi meg, hogy a bejövő csomag abból az irányból/csatolón jön amerre küldenék
net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=1
#syn támadás kivédése:
net.ipv4.tcp_syncookies=1

Én az Ocean VPS gépen letiltanám az IPv6-ot ha nincs rá szükség, vagy ha igen akkor ki kell egészíteni a tűzfal szabályokat... különben meglepi lehet.