Você pode monitorar a saída de netstat . os sinalizadores -tpan permitem visualizar qual programa usa qual porta. Em teoria, você poderia escrever um script simples que verifica constantemente o número dessas conexões com grep e, se o número de conexões tiver sido alterado, você poderá receber uma notificação. Note que sshd não será mostrado a menos que você execute o comando com sudo, então o script provavelmente precisará ser executado com o sudo também. Eu duvido que notify-send permitiria listar uma grande quantidade de conexões, mas você poderia usar zenity e sua caixa de diálogo de lista.
Outra maneira, embora apenas para conexões de entrada, não é o monitor who command. Como você está bloqueando todas as conexões, exceto o ssh, provavelmente você está mais preocupado com quem está logando em sua máquina. Você pode usar watch -n5 -d who , em que -n é o intervalo para repetir o comando em segundos e -d é o sinalizador para diferenças de luz altas entre o resultado anterior e atual do comando