A maneira mais fácil de fazer é colocar a máquina na DMZ do roteador, mas isso (e seu plano também) exporá seu sistema diretamente à Internet como um todo, aumentando enormemente sua segurança risco. A melhor coisa a fazer é expor os serviços somente quando necessário.
Além disso, o ssh é apenas a porta 22. Você pode fechar 23, mas o 21 manipulará o FTP, desde que o cliente use o modo passivo.