So, um mir meine Frage jetzt selbst zu beantworten.
Man muss keinen internen forward setzen, weil man den SSH Port einfach in der Dropbear konfig ändern kann.
Dazu einfach das start script anpassen und den port in der firewall freigeben.
In /etc/init.d/dropbear Zeile 10 findet man
DROPBEAR_ARGS="$DROPBEAR_ARGS -R -b /etc/issue"
dort einfach den gewünschten port anhand der dropbear syntax einfügen
DROPBEAR_ARGS="$DROPBEAR_ARGS -p 1234 -R -b /etc/issue"
dann mit '/etc/init.d/dropbear restart' den dropbear dienst neu starten.
Noch eine kleine phylosophische Sache am Rande.
Ein offener SSH Port ist keine Sicherheitslücke, wenn die Admins dahinter wissen was sie tun. Ich kenne unzählige Systeme in wirklich großen Umgebungen die offene SSH Ports haben um verschiedenste Dienste zu erledigen wie Cluster Management, Monitoring, distributed computing, etc. etc.. Normalerweisse ist es auch kein Problem einen SSH Server so ein zu stellen das er sicher ist und es wäre für Unifi ein leichtes gewesen die Konfigurationsmöglichkeiten mit in das Frontend ein zu bauen mit allerhand spielereien wie einer ganz einfach bann konfig oder port knocking. Das sie es nicht getan haben, zeigt nur wie schlecht deren Techniker sind, oder wie wenig sie darauf vertrauen das ihr equipment tatsächlich von Experten verwendet wird. Die schon fast mobbingähnlichen Zustände die ich durch meine Frage hier gesehen habe, erklären mir aber leider das Verhalten von mittelklasse Netzwerkhardware herstellern.
Bildung hilft gegen Bandenbildung.