El router que tiene Ono esta configurado de forma muy genérica. Te abren un paquete de puertos y ya está, no tienes mucho más control. Lo sé porque nosotros también usamos el DataCenter de Ono, pero a pesar de ello tenemos otro firewall cisco para filtrar mejor.

El tener el firewall en la misma máquina sigue siendo un problema, porque aunque las peticiones no llegan a los servicios a las que van destinadas, siguen creando carga en la máquina, solo que esta vez se la come el firewall. Y espero que no sea el firewall que viene en windows ¬¬

Lo aconsejable es:
1) tener un firewall independiente que permita crear una VPN
2) capar el puerto de SSH hacia internet, pero no hacia la intranet
3) Conectarse a la vpn (es con un programin) y, estando ya en la intranet, hacer el ssh

Yo lo hago así y es muuuucho más seguro.