Presumivelmente, você tem seu servidor bloqueado por trás ou com um firewall. Se assim for, basta fechar as portas XRDP (3389, IIRC) com iptables ou similar. O único acesso será permitido a partir do host local, que você já está fazendo com o seu túnel ssh (por exemplo, ssh -L 4489:localhost:3389 server ).
Além disso, embora não seja estritamente mais seguro, você pode tornar seu servidor ssh menos visível, executando-o (ou encaminhando externamente a partir de) uma porta diferente. Eu acho que acabo com muito menos tentativas de invasão, e aqueles que entram, presto mais atenção porque, claramente, eles estão mais energizados por se incomodarem em encontrar minha porta alternativa e, em seguida, tentam entrar através do protocolo certo. .