Zavarba hozol. Most az auth.log ban nem a 22 port -ra érkező csomagokat vizsgálom, hanem a login kéréseket látom amit a pam rendszerhez küldenek. Ha nem tudják hova küldjék akkor ez mennyire obscurus?
Az ssh egy eléggé privát szolgáltatása a gépnek, nem szükséges mindenkinek tudni róla, mint mondjuk a http vagy az shttp, ott nemigen térhetsz el a szabvány port számtól. (De csináltam már olyasmit is, hogy az ssh -val átirányított "iot" eszköz felületét egy felső porton tettem elérhetővé a publikus IP címmel rendelkező "szerveren", nem túl elegáns de >10 éve ez nagyon jól jött)