Fácil. Como você disse, você precisa de um túnel. Nós vamos fazer um.
ssh -L 8080:bast01:8080 myuser@bast02
Você loga normalmente, e você pode usar qualquer coisa que você normalmente usa em uma sessão ssh. No entanto, fez outra coisa. Ele disse ao ssh que você quer uma porta em sua máquina local, ou seja, 8080 (que é o primeiro 8080), para tunelar a bast01 na porta 8080, usando bast02 (aquele em que você está se conectando). Note que a sua própria máquina não precisa ser capaz de resolver (DNS) o nome bast01, o nome deve ser resolvido por bast02. Obviamente, bast02 precisa ser resolvido a partir do seu desktop.
Neste ponto, você aponta seu navegador para: link Voilà ... Agora você vê a página de login (ou qualquer outra) que esteja hospedada na porta 8080 do bast01.
Agora, bast01 pode usar vhosts e, nesse caso, seu navegador enviará o nome do host que deseja para o servidor. Nesse caso, o servidor receberá "localhost" como nome e talvez não saiba o que fazer com ele. Se for esse o caso, edite temporariamente seu arquivo de hosts (na máquina em que você emite o comando ssh, normalmente sua área de trabalho) e adicione:
127.0.01 hystrix
(ou qualquer outro nome que você precise usar)