Seus DROPs estão na frente da cadeia (e serão processados primeiro). Você deseja colocar as DROPs após a regra que permite o acesso SSH para que a regra SSH seja usada.
Algo como isso deve funcionar:
#Accept ssh traffic from lan1 to client 192.168.20.2 in lan2
iptables -A FORWARD -i eth1 -o eth2 -p tcp --dport 22 -d 192.168.20.2 -j ACCEPT
#Block all traffic between lan, but permit traffic to internet
iptables -A FORWARD -i eth1 -o ! eth0 -j DROP
iptables -A FORWARD -i eth2 -o ! eth0 -j DROP
(use o -A para anexar essas regras ao final da cadeia)