Acho que esta é quase a mesma questão que aqui: Como criar um usuário SSH restrito para encaminhamento de porta?
A solução é muito abrangente e deve ser também aplicável ao seu problema.
Estou usando na máquina Windows:
plink -C -L 3333:<internal-server-ip>:80 -N -i keyfile.ppk <user>@<mydomain>
onde <mydomain> é um 14.04.2 LTS do Ubuntu com SSH e logins remotos somente para arquivos de chaves.
Percebi que posso realmente encaminhar para qualquer coisa por trás do NAT na minha rede através de <mydomain> server. Eu preciso de um guia sobre como limitar essa possibilidade de tal forma que <user> seria capaz de redirecionar somente para% específico <internal-server-ip> ou seu grupo?
Acho que esta é quase a mesma questão que aqui: Como criar um usuário SSH restrito para encaminhamento de porta?
A solução é muito abrangente e deve ser também aplicável ao seu problema.