Прежде всего, нужно разрешить трафик между интерфейсами ноды:

sysctl net.ipv4.ip_forward=1
iptables -t nat -A POSTROUTING -j MASQUERADE

# NODE_IP - внешний IP ноды, на котором не занят порт 50122 ))
# 10.20.30.2 - внешний IP виртуалки.
 
 
NODE_IP=109.60.193.245
iptables -t nat -A PREROUTING -p tcp --dport 50122 -j DNAT -s $NODE_IP --to-destination 10.20.30.2:22
 
iptables -A FORWARD -p tcp -d 10.20.30.2 --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT