Você está tentando se conectar ao SSH e isso (parece ser) permitido, por isso é hora de diagnosticar o problema. Eu gosto de adicionar uma regra de LOG antes de deixar qualquer pacote, então eu sei exatamente o que está sendo descartado. Caso contrário, um pouco de ação do tcpdump deve identificar o tráfego que não vai a lugar nenhum. Uma vez que você sabe o que está sendo descartado, é um assunto trivial adicionar as regras necessárias para permitir isso.