IPTables - Alterar porta de pacotes de entrada e saída

Sim, certamente deve ser possível configurar as regras de iptable para o tráfego de saída de NAT. Você realmente só precisa criar uma regra que lide com o tráfego de saída. Você não deve precisar de uma regra para fazer nada aos pacotes que retornam. A natureza estatal do netfilter lidará com isso para você.

Você provavelmente precisaria usar uma regra como essa.

# if you want to redirect requests from the local machine
iptables -t nat -A OUTPUT--destination remote.host.ip \
         -p tcp  --dport 22 -j DNAT --to-destination remote.host.ip:222

# if you want to redirect requests on a device inline
iptables -t nat -A PREROUTING --destination remote.host.ip \
         -p tcp  --dport 22 -j DNAT --to-destination remote.host.ip:222

Outra solução simples seria simplesmente configurar um arquivo de configuração SSH para o servidor e especificar a porta na sua configuração.

# list of all names, you might commonly use for this host.
Host foo foo.example.org foo.example 
    # real hostname
    Hostname real.example.org
    Port 222

Eu recomendaria ler este link . Se você decidir fazer isso, também recomendo usar as seguintes etapas de segurança para SSH e um IP voltado para o público.

1. Não permitir logons de raiz.
2. Permitir apenas que esta porta seja aberta a partir de determinados IPs.
3. Autenticação baseada em chave.
4. Use ferramentas como denyhosts para bloquear qualquer tipo de tentativa de força bruta.