Akkor viszont a szabályban engedni kell a WAN felől az SSH-t és a második tipp a masquerade kikapcsolása (ugye a WAN fele mindent NAT-ol) de lehet egyszerűbb lenne ha adsz egy config export