Sim, certamente deve ser possível configurar as regras de iptable para o tráfego de saída de NAT. Você realmente só precisa criar uma regra que lide com o tráfego de saída. Você não deve precisar de uma regra para fazer nada aos pacotes que retornam. A natureza estatal do netfilter lidará com isso para você.
Você provavelmente precisaria usar uma regra como essa.
# if you want to redirect requests from the local machine
iptables -t nat -A OUTPUT--destination remote.host.ip \
-p tcp --dport 22 -j DNAT --to-destination remote.host.ip:222
# if you want to redirect requests on a device inline
iptables -t nat -A PREROUTING --destination remote.host.ip \
-p tcp --dport 22 -j DNAT --to-destination remote.host.ip:222
Outra solução simples seria simplesmente configurar um arquivo de configuração SSH para o servidor e especificar a porta na sua configuração.
# list of all names, you might commonly use for this host.
Host foo foo.example.org foo.example
# real hostname
Hostname real.example.org
Port 222