Esta regra que voce citou limita a abertura de no maximo 20 conexoes por mascara 32 (1 IP)... Ou seja, eh a limitacao de conexoes que voce esta querendo...
No entanto, este tipo de limitacao soh funciona para as conexoes que o seus clientes fazem para a internet... Nao funciona para as conexoes iniciadas da internet para seu cliente, por este motivo voce deve ver mais de 20...
As conexoes da Internet para seu cliente nao tem como limitar... Pois do connection-limit soh trabalha com source do pacote... Ou seja, se voce tentar fazer uma regra inversa a esta que voce ja tem voce vai bloquear um IP da internet a ter X conexoes para TODOS os seus clientes... Ex: Apenas 20 acessos simultaneos ao Google poderiam ocorrer divididos entre todos os seus clientes...
O numero de conexoes simultaneas nao influi em nada com a performance do seu link se voce faz controle de banda... A unica coisa que poderia acontecer eh, se voce tem um hardware de baixa performance, o numero de conexoes poderia pesar um pouco... Mas para um link de 2MBs qualquer 486 da vida rotearia sem problema algum...