Vladimir

Единственный порт, который вы пытаетесь открыть: 22/tcp

# Accept incoming SSH
iptables -A INPUT -p tcp --dport 22 -j chain-incoming-ssh

Но в цепочке chain-incoming-ssh нет ничего, что разрешало бы ssh, там сразу стоит заглушка DROP.
Вариант 1: сразу открыть и не строить сложных конструкций
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Вариант 2: в ветке chain-incoming-ssh

iptables -N chain-incoming-ssh
iptables -A chain-incoming-ssh -p tcp --dport 22 -j ACCEPT
iptables -A chain-incoming-ssh -j DROP

Тормозов не будет.

PS.
Во времена Hyper-V на базе WinServ2008R2 у меня иногда наблюдался глюк у ВМ с линуксом, если включена динамическая память: в какой-то момент kswapd0 сжирал 100% cpu.
На просторах инета я видел только объяснение для memory ballooning в Xen. Но у себя я это наблюдал на Hyper-V и RHEL (либо 6, либо 5) в роли гостя.
Про сейчас ничего не скажу, ибо уже 2012R2, и более новые ядра и только предвыделенный объем памяти.

Мысль 1: с OpenVPN все ок. Я сам сижу на удаленном компе в 1920x1080x16бит, дискомфорта не ощущаю, иногда наглею до 32 бит. Все ок.

Мысль 2:
У меня на удаленке через OpenVPN+RDP сидит всего более 50 человек, одновременно подключены 20-30. На разрешениях от 1366x768 до FullHD (они включают полный экран, поэтому все зависит от того, какой у них ноут или монитор). Дискомфорт только у тех, кто сидит через откровенно отвратный интернет и только на некоторых приложениях (Adobe Reader, например, когда присылают сканированные PDF).
Настраивали все всё сами по розданным инструкциям + файл конфига. Даже разные обычные офисные работники, обычные секретарши и преподы-гуманитарии. Главное инструкцию написать и послать людям все нужные файлы. Файл конфига посылается в почту в зашифрованном архиве. Пароль на архив отправляется на телефон смской.

Мысль 2б:
Если бы у людей не было кучи хлама на дисках D: я бы всех посадил на терминальный сервер. Тем более, что он есть с нужным количеством лицензий. У всех пермещаемые профили и домашние папки на сервере замэплены на X: . Но народ не учится, даже на примере одной несчастной, у которой шифровальщик унес в небытие 10 гигов хлама на D: за 10 лет работы. Да, у меня работает KES с центральным управлением, но это был zero-day и опилки в голове у юзера, несмотря на регулярный инструктаж.

Мысль 3:
Так как юзеры сидят с домашних компов, где они боги и цари (в отличие от офисов, где у них все порезано), то теоретически возможна атака на всю сеть с любого удаленного компа. Поэтому схема VPN+RDP не слишком кузявая. В-общем, сплю я неспокойно.

Мысль 3б:
Чтобы затянуть гайки следующим этапом для каждого vpn-юзера на openvpn-сервере делается файл в папке staticclients (там для каждого и так есть файл, как контроль, кто может подключаться, а кто нет), куда прописывается заданный адрес. А в правилах фаейрволла прописывается, что доступ с определенного vpn адреса разрешен только на определенный IP внутри сети (на комп пользователя).
И дополнительно на всех компьютерах удаленшиков включаем SRP.

Мысль 3в:
(пока думаем и взвешиваем) Следующим этапом раздаем всем удаленщикам пакет для установки на домашний комп KES+агент. Хотя бы некоторый контроль на их компами.