спасибо, стоит только задать вопрос, в любом случае задача у меня сформулирована была лукаво )
я бился на порт условно 5505 - а он DNATился в 22 :-)
Посмотрел Wireshark и обомлел от своей невнимательности, ведь порт уже подменен, а я таблице FORWARD пытаюсь разрешить коннект на старый порт.
Всё схема жизнеспособна, еще не уверен на 100%, но похоже я близок. За ссылку спасибо, посмотрю.
PS
Да подтверждаю, что ошибка была в том что порт DNATился в другой, а в таблице Filter (цепочке forward), попытка фильтрации была по старому порту, хотя он уже был в DNAT подменён (что логично). Проблема решена, всем спасибо.