Fordítsd meg! Próbálj a MT-ről SSH-zni a Pi-re... Akkor kizárod a MT nagyjából minden korlátozó lehetőségét (hacsak nem tettél az output chain-re szabályokat).
Ha a Pi-re sem ér el a MT-ről az SSH (Pi-n tcpdump-pal kényelmesen tudod nézni), akkor valami mégiscsak lesz a HGW-vel. Ha a MT->Pi viszonylatban működik az SSH, akkor meg csak a MT-en fogja meg valami (ez esetben nem tudom mi, mert a tűzfal szabályod jó).
De nekem rettentő fura, hogy a tűzfal szabályra nem fut rá a csomag. Ha ténylegesen internet felől próbálod a publikus címen (a PPPoE kapcsolaton keresztül) az SSH-t, az működik? Ezzel a szabállyal onnan is be kellene engedjen.