Никто не прописывал SRV-запись в DNS-зону для ssh? Оно вообще будет обрабатываться? Хочется, чтобы все запросы ходили через клаудфлер, например, но SSH-клиент стучался в нужный порт по настоящему адресу.
Если я правильно понимаю, то оно будет выглядеть как-то так:
_ssh._tcp.domain.tld. 86400 IN SRV 0 5 12345 ip_ssh_сервера