Pedig valami ilyesmi kéne neked.
Én is ezt javasoltam volna, hogy szűrj az interfészre.
A postroutingban az IP cím átírás az interfészt nem változtatja meg.
Az, hogy nem használt, az azt jelenti, hogy továbbra is be tudsz lépni máshonnan is? Mert akkor a túl engedékeny szabályt kéne először megkeresned és kigyomlálnod.
Én azt mondanám, hogy mivel VPN-ről mindent beengedsz amúgy is, az INPUT csatornád első sorát:
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
töröld ki!