Не должны Ансибл волновать никакие "уже существующие порты". Всё необходимое для использования в модуле фаерволла должно быть перечислено в инвентори, а не добываться через задний проход башизмами с регулярками.
Если я правильно понял, вы пробросили порт с 10.0.22.3 наружу, и теперь хотите изнутри на него зайти? Так по умолчанию работать не будет и в целом это неправильно, изнутри локальные ресурсы должны быть доступны по локальным же адресам.
Если всё же хочется странного, гуглите "hairpin NAT".
Так обычно не делают, это кривота. Если существует необходимость подключаться к одному и тому же ресурсу снаружи и изнутри, решают этот вопрос заведением DNS-сервера, который при запросах из локальной сети резолвит нужное имя в локальный IP-адрес.
Ошибка имеет отношение к маршрутизации, а не фаерволлу. Есть у вас маршрут до данного хоста или шлюз по умолчанию, способный отправить пакеты куда надо?
