Nós fazemos exatamente isso. Os clientes VPN são colocados em uma sub-rede diferente dos servidores AFP. Eles devem passar por um roteador, que tem a capacidade de bloquear a porta 548. Damos mais um passo, definindo duas classes em usuários VPN com base em uma chave pré-compartilhada. Podemos, então, definir regras de maneira diferente com base na classe do usuário da VPN.
Você não precisa bloqueá-lo no roteador. Você também pode ativar o firewall no Mac OS X Server e bloqueá-lo.
Se você bloquear apenas a porta 548, o Samba / CIFS continuará funcionando.