Uma maneira fácil é confiar exclusivamente no NAT:
Encaminhar todos os pacotes que alcançam o $ PUBLICIP na porta 2222 para $ LOCALIP na porta 22:
iptables -t nat -A PREROUTING -d $PUBLICIP/32 -p tcp -m tcp --dport 2222 -j DNAT --to-destination $LOCALIP:22
Encaminha o tráfego proveniente de $ LOCALIP na interface do $ PUBLICIP:
iptables -t nat -A POSTROUTING -s $LOCALIP/32 -j SNAT --to-source $PUBLICIP
Então você pode simplesmente ssh -p 2222 $PUBLICIP
do seu sistema local.