1) man iptables
2) может так:
iptables -t nat --append PREROUTING --in-interface "ethX" --protocol tcp --source A1.A2.A3.A4 --destination S1.S2.S3.S4 --destination-port 22 --jump DNAT --to-destination S1.S2.S3.S4:22
iptables -t nat --append PREROUTING --in-interface "ethX" --protocol tcp --source B1.B2.B3.B4 --destination S1.S2.S3.S4 --destination-port 22 --jump DNAT --to-destination Y1.Y2.Y3.Y4:22
где ethX - внешний интерфейс,
S1.S2.S3.S4 - IP-адрес сервера SSH,
Y1.Y2.Y3.Y4 - IP-адрес альтернативного сервера SSH,
A1.A2.A3.A4 - IP-адрес/подсеть администратора,
B1.B2.B3.B4 - IP-адрес/подсеть неадминистратора.
Сам не пробовал. Будет интересно узнать, сработают ли такие настройки.
