A routeren állítsd be a portforwardokat normálisan. Utána tiltsd le a külső hálózatról való belépést.

A gépeden az ssh-t állítsd át valami más portra, így már alapból egy rakat ártó szándékú scriptet kiszűrtél.

+ Az ssh-ban tiltsd le a root belépést. Ha rootként akarsz ténykedni, akkor beméssz normál userként, és utána:

+ brute force ellen állítsd be, hogy hibás belépés esetén várni kelljen mondjuk egy percet.

+ tud az ssh mindenféle autentikációs kulcsokat használni.

+ iptables-el kiszűröd az ip tartományokat, amiket nem akarsz beengedni. (Vagy kifordítva: amiket engedni akarsz)

Ha ezek be vannak normálisan állítva, _szerintem_ nagyon minimális a betörés esélye. Persze paranoia rulz, törhetetlen rendszer nincs.

Ez egy „tipikus/szokásos” broot force attack
Ha ezeknek a logig való eljutását akarod megszüntetni, azt kell megcsinálnod, hogy minden, olyan portra érkező kérést ekdobsz amit nem használsz.
Pl.: (Shorewall)
DROP  net  loc  !22,80,443,1728,3389,48000-49000  –
Ha tenni is akarsz ellene, akkor snort és kb hetente a megfelelő ISP-knek elküldöd az ezekről a támadásokról szóló logbejegyzések.
(Mellékesen azért van az FW, hogy ezzel ne keljen foglakoznod)

Ha már SSH és brute force, akkor ajánlom a Fail2ban-t. A routert pedig így távolról is tudod állítgatni SSH-n keresztül belső hálozatról.

Köszönöm a tippeket, amint tudom átnézem a leírásaikat.
Most csak egy-két felvetésre reagálnék.

Azért kellene leginkább, hogy el lehessen érni a routert kívülről ssh-val, hogy port forward-al netet lehessen varázsolni olyan gépre is ahol alapból proxy-val le van korlátozva.
Ezt leginkább édesanyám használja a munkahelyén, nem fix időpontokban.
Régebben úgy volt megcsinálva, hogy a gépre jelentkezett be, de az ugye nem megy folyamatosan, ezért nem tudja mindig elérni, így jobb ha a routerre lép be, az úgyis folyton online, ha a gép lenne az akkor kicsit magasabb lenne a villanyszámlám.

Más portra azért nem állíthatom, mert a legtöbb le van tiltva az említett melóhelyen, a 22-est használják általában a rendszergazdák is, ezért azt engedélyezik.
Routeren nem tudom letiltani a root hozzáférést, mivel vannak bizonyos alap beállítása amik fix-ek és nem változtathatóak, minden írható cucc a /tmp-be kerül és rebootkor elveszik vagy visszaáll az alapra.
Az iptables beállításokat lehetne csak szórakozni, azokat képes fixre menteni.
Az említett szoftvereket meg megint csak az írási korlátok miatt nem tudnám alkalmazni router szintjén(meg hely sincs, mivel 16MB-ból gazdálkodik), max ha egy memókártyát rakatnék bele és oda telepíteném a szoftvereket.

Remélem így már érthetőbbek a korlátok, ha a gépen akarnám letiltani ezeket mindegyik megoldás tényleg hasznos lenne.
Így viszont valszeg csak az iptables precíz beállítását tudom kihasználni.