Eu encontrei uma solução baseada em socat neste post:
então, isso faz o truque:
sudo socat TCP-LISTEN:2221,su=nobody,fork,reuseaddr TCP-CONNECT:192.168.2.100:2222
Ele conecta a porta 2221 no host local à porta 2222 na máquina remota 192.168.2.100
sudo precisava su para ninguém.
A opção fork significa que ela renegociará a porta de entrada, para que ela não seja bloqueada.