Hola,
Despues de mucho investigar, llegué a la conclusión de que no se puede. El problema es que si se quiere restringir el acceso para que solo se pueda conectar una ip dinamica es que esta cambia cada x tiempo y iptables hace la resolucion dns nada mas arrancar y luego no la vuelve a ejecutar más.
Estuve provando con libwrap una variante de tcp-wraper para openwrt pero ya aviso que no funciona eso de configurar lo ficheros /etc/hosts.allow y /etc/host.deny para dropbear.
Mi conclusion es usar autenticacion de certificados para ssh para que no haya posibilidad de ataque por fuerza bruta.
Espero que esto le sirva a alguien, más que nada para que no pierda el tiempo.
Un saludo!