Ikzelf gebruik een Fritzbox achter de Connectbox (staat in bridged mode).
Daarop kan ik zowel IPSEC als ook Wireguard VPN's configureren.
Op mijn Android toestel maak ik dan ook gebruik van AlwaysOnVPN.
Hierdoor hoeft SSH niet meer open te staan. Mocht het nodig zijn, dan kan ik op afstand een Virtual Machine starten, welke alleen gebruikt wordt voor SSH toegang.
Er wordt gefilterd dat alleen verkeer vanuit Nederland is toegestaan om verbinding te maken (ik ga nooit naar het buitenland). Daarnaast draait Fail2Ban, waardoor meerdere mislukte inlogpogingen worden geblokkeerd in de firewall.
Voor de SSH server zelf, maak ik ook nog gebruik van 2FactorAuthentication, zodat een username en password niet voldoende is om te kunnen inloggen.
Werkt prima.
En ja... Voorheen zag je dagelijks honderden inlogpogingen, maar dat is hiermee een stuk minder.
Je ziet ook allerlei inlogpogingen op de mail poorten, maar daarop houd Fail2Ban ook een hoop rotzooi tegen.