Buenas Pepu
Bueno, creo que puedo responderte en lo que te sucede, realmente es sencillo. Pero antes que ello, en lo relativo a las reglas del Firewall, creo que no entiendes bien el funcionamiento de estas.
Las reglas en el Firewall del 99% de todos los Router, son para el tráfico de tipo "entrante", no "reenviado". El tráfico entrante es el tráfico dirigido al Router, no a algún dispositivo de tu red desde o hacia internet. Es tráfico reenviado cuando se realiza un cambio de red, que es lo que pasa si un dispositivo tuyo que está en red local accede a Internet, o al revés, quieres desde Internet acceder a tu red local. Y esto es importante, porque con la regla que tienes en el FW del Router, lo único que estás haciendo es que el Router acepte cualquier tipo de tráfico por el puerto 22... lo cual sería necesario si existiese algún servicio a la escucha en el Router en dicho puerto.... y de echo ese es el problema, existe, el Router tiene su propio servidor SSH
Por defecto, todos los HGU poseen SSH levantado, y las reglas del FW del Router están configuradas para permitir tan solo las conexiones de determinados equipos/redes de gestión de Movistar. Lo único que has hecho al insertar esa regla en el FW ha sido quitar esa protección que pone Movistar, y ahora en vez de poder acceder sólo Movistar por SSH al Router, lo has abierto a todo el mundo!!
En cambio, si queremos acceder a un servicio interno de nuestra red, las reglas del FW por lo general son totalmente inservibles, no afectan al tráfico reenviado. Para eso tenemos que usar NAT, y las redirecciones de puertos, llámalo abrir puertos, Virtual Server, Port Forwarding... como quieras. Eso lo que hace es decirle al Router que reenvíe el tráfico específico que le llega a uno de los puertos, a otro de la red Interna del equipo que sea. Ese tráfico no pasa (por defecto) por el FW de los Router, pasa por las cadenas de reenvío, no de entrada.
Dicho de otro modo... deja las reglas del FW del Router como estaban :), no quieres acceder a tu Router por SSH, quieres acceder a un equipo de tu red local.
Problema? No funciona en principio porque el Router, como he dicho, ya usa el puerto 22 para sí mismo, y por ende no puedes abrir el puerto 22 externo del Router... obviamente, ya lo está usando.
Hay dos soluciones, una mala otra buena, que además es hasta más sencilla.
La "mala", es configurar el Router para que use el servidor SSH en otro puerto. Casi todos los HGU por no decir todos, pueden hacerlo de un modo u otro. Algunos tienen una sección para ello, otros se hace automáticamente si se intenta abrir desde la interfaz avanzada o la reducida... depende del modelo. Eso "libera" el poder hacer uso del puerto 22 externo del Router. Pero esta opción no es nada buena.
La buena?? Pues es bastante sencillo, y es lo más recomendable además, y es totalmente independiente de que el Router tuviese o no un servidor SSH corriendo. Básicamente, por pura seguridad básica, nadie en su sano juicio, en entornos domésticos, con equipos domésticos... expondría un servicio conocido a Internet en sus puertos por defectos. Esto es básico. Eso sin contar los escasos o nulos conocimientos que tiene la inmensa mayoría para securizar mínimamente todo, y aun cuando pudiese, repito, es un entorno doméstico, donde generalmente usan el Router del propio ISP!! No son precisamente equipos profesionales de alta seguridad bla bla bla.
Dicho de otro modo, que aunque solo sea por seguridad básica, lo adecuado sería hacer una redirección simple, en vez de hacer 22 Externo -> 22 Interno, algo tan simple como 43123 externo, 22 Interno. La única diferencia es que el cliente SSH que se use desde fuera pues tendrá que especificar dicho puerto, nada más, una minucia en comparación con lo que se gana, ya que aunque el servicio SSH no significa que sea realmente invisible, lo será para el 99.99% de todo Internet, ya que a menos que seas un objetivo particular a dedo que interese, nadie escanea los 65535 puertos de un equipo desde Internet... en cambio si se hace de forma constante, 24/7, simplemente por estar conectado a Internet, en los puertos conocidos, especialmente los primeros 1024 puertos.
Saludos.
