Geralmente, para uma instância como essa, você teria uma zona desmilitarizada (DMZ) para colocar esse servidor. Um firewall na frente da DMZ permitiria o SSH para esse servidor a partir do endereço IP especificado (você mencionou apenas permitir uma IP estático) e, em seguida, um firewall atrás da DMZ (entre a DMZ e sua rede local) bloquearia todo o resto deste servidor.
O que você bloqueia é uma questão sobre o que a pessoa que está usando o servidor precisa acessar. Por exemplo, mesmo que você bloqueie o SSH usando IPTables, todos os outros serviços estarão disponíveis (ftp, nfs, smb, dns, dhcp, etc - uma listagem apenas para dar uma idéia), a menos que você queira que eles possam acessar tudo, então você precisa bloquear tudo isso.