A regra para a cadeia FORWARD precisa usar a porta de destino, porque é executada após a cadeia de pré-roteamento, ou seja, após o DNAT ter sido feito.
iptables -A FORWARD -i $EXTIF -o $INTIF -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
Um bom diagrama geral de como as várias tabelas e cadeias estão vinculadas é aqui: link