Amigo, existe uma outra opção. Você pode usar o knock, ele é uma proteção a mais. Pra sua solução eu acho que é válido. Assim você adiciona uma sequencia de portas pra bater e aí ele abre a 22 apenas para o teu IP que você está no momento e depois fecha ela novamente.