iptables incapazes de bloquear a conexão ssh local

Aqui está a minha pergunta: Por que o iptables não consegue impedir que o SSH se conecte ao localhost?

Segue-se uma descrição mais detalhada.

Durante um processo de experimentação com iptables me deparei com a seguinte curiosidade que gostaria de entender. Mesmo quando eu defino cada política para DROP, ainda consigo acessar a máquina localmente via SSH.

Aqui está o que estou fazendo.

Primeiro, uso iptables para definir todos os valores POLICY para DROP:

cat <<HEREDOC | sudo iptables-restore

*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT DROP
COMMIT

*mangle
:PREROUTING DROP
:INPUT DROP
:FORWARD DROP
:OUTPUT DROP
:POSTROUTING DROP
COMMIT

*nat
:PREROUTING DROP
:POSTROUTING DROP
:OUTPUT DROP
:INPUT DROP
COMMIT

*raw
:PREROUTING DROP
:OUTPUT DROP
COMMIT
HEREDOC

Então eu tento conectar via SSH:

ssh localhost

E, para minha surpresa, isso funciona! Eu sou apresentado com uma nova sessão de shell como se não houvesse firewall. Como uma verificação de sanidade eu tente pingar localhost, o que resulta na seguinte mensagem de erro:

ping: sendmsg: Operation not permitted

Isso parece sugerir que o firewall está de fato operacional. Finalmente eu tento SSH usando um endereço IP

ssh 127.0.0.1

Isso trava, como eu esperava.

Então, meu melhor convidado é que o SSH está fazendo algo diferente quando ele passa a string "localhost" como um argumento - algo que realmente não envolve a interface de loopback. Se este é de fato o caso, então minha pergunta se torna: "O que exatamente o ssh está fazendo?"