Eh si se hai un router devi modificare anche la sua nat! Se hai accesso all'interfaccia web puoi farlo tranquillamente, disolito è semplice (se ti serve ti posso dire come si fa sul mio d-link, ma cambia abbastanza da router a router).
A differenza di altri io ti consiglio VIVAMENTE di cambiare porta a SSH e ti spiego anche il perchè:
Finchè sul mio serverino avevo SSH sulla 22, ero infestato da tentativi di accesso "fasulli" cioè creati con utenti a caso, (più o meno, ci sono i soliti root, admin ecc...) e da svariati IP. Ovviamente erano generati da bot.
Spostando la porta su un altra di cui ero sicuro fosse libera (basta un netstat e che non usi quelle alte, ma ne tieni una bassa, diciamo <10000) non ho avuto più tentativi indesiderati, proprio perchè i bot provano solo sulla 22 (anche se non in ascolto, prova a creare una regola ad hoc di iptables che logga i tentativi) e non su una non-standard; anche i portscan per essere più veloci provano solo range limitati di porte.
Finezza in più (che anche tu puoi fare visto che usi un router): in realtà sshd sulla macchina è effettivamente in ascolto sulla 22; infatti per accedere dalla mia lan basta un ssh utente@server. Dove altero il numero della porta del servizio e proprio attraverso il NAT del router: in pratica quando fuori dalla lan esegui un ssh utente@server -p 12345 (es. di porta) il router rigira la connessione alla porta 22 del server; così dalla lan è tutto più immediato e da fuori sono protetto dai bot poichè la 22 risulta "closed".
Codice:
12345 ROUTER WAN -> 22 ROUTER LAN ----- 22 SERVER
Spero di esserti stato utile, ciao.