Az a baj, hogy én is csak ötletelek, és várom hogy valaki nálam tapasztaltabb megerősítse az elméletet.
Arra gondolok, hogy a 443-as portra érkező forgalmat mindenképpen vizsgálnod kell, erre jó a layer-7 filters, SSH pattern-nal. Az így megjelölt csomagokat aztán szerintem forwardolni tudod egy olyan virtual ip-ra, ahol az sshd-t bindelted.
Bocs hogy semmi konkrétum, de ennyire nem értek hozzá. Talán tedd fel a kérdésed netfilter vagy az l7-filter levlistán...