[FrIcE]

В ядре оставить драйвера только для того оборудования, которое там реально стоит. Желательно отключить USB / FireWare / LPT / COM - порты, если в них нет особой необходимости. Стоит добавить файерволл, который будет использоваться (рекомендую pf) и при желании ALTQ (механизм приоретизации трафика). netgraph лучше всё - таки включить, лишним не будет.

vpn на другой машине смысла поднимать нет, если оборудование нормальное.

Авторизация будет лежать на биллинге, поэтому надо искать тот, который поддерживает MAC - авторизацию. Какой лучше использовать не подскажу, 2 года назад искал для своих целей, в итоге плюнул и написал свой.

ftp можно засунуть в chroot или ещё лучше в jail, даже если его сломают, к системе добраться будет нереально. Либо как вариант поставить его на отдельной машине внутри сети, но тогда намучаетесь с настройкой ftp прокси на шлюзе.