Не ну ясно дело что в инет выходить надо "по месту". У меня просто политика в компании такова, что в инет не всем можно. В филиале никому нельзя. Потому я инет там и не заводил. Да и в любом случае правила на "прохождение" через маршрутизатор и "входящие" у меня под разными разделами. Просто все "входяшие" сервисы убрал. Оставил тока порт управления из локальной сети и вебку из внешки дабы смотреть за состоянием загруженности.
А на счет "хорошего" админа, пользуюсь критерием "запрещено все, что явно не разрешено", пока помогает.