iptables, цепочка OUTPUT: запретить всё, кроме

Да все верно в целом. Все будет работать.
-A OUTPUT -p tcp -m state --state NEW,ESTABLISHED -m tcp --dport 22 -j ACCEPT #Разрешаем исходящий на любой IP 22/tcp (кстати не вижу смысла в state)
-A OUTPUT -d 192.168.1.0/24 -j ACCEPT #Разрешаем исходящий на IP адреса в сети 192.168.1.0/24
-A OUTPUT -j DROP #Все остальные исходящие пакеты дропаем.

Если на маршрутизаторе, то тебе надо FORWARD дропать.

Не, не маршрутизатор, к сожалению.

iptables -P OUTPUT ACCEPT
iptables -F OUTPUT
iptables -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED - j ACCEPT
<дальше твои разрешающие правила>
iptables -P OUTPUT DROP

Первые две команды - безопасная(на случай если ты подключен по удаленке) очистка цепочки OUTPUT.
Третье правило - разрешаем все ответные пакеты(чтобы работали сервисы, расположенные на данном хосте, например тот же SSH-сервер).
Затем явно указываем всё что ты хочешь разрешить.
Ну и наконец отрезаем остальное.

Ну и да, убедись что тебе не мешает какой-нибудь другой демон для управления правилами файрвола - например ufw или firewalld.

Разобрался. Надо было так: -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED -m tcp --sport 22 -j ACCEPT

Теперь работает как надо: нет Интернета, работает SSH с внешнего интерфейса.