Encaminhamento de porta para o TightVNC com apenas porta ssh?

Gostaria de poder me conectar à minha caixa de janelas com o VNC. Eu instalei o TightVNC e o freesshd. Eu configurei o TightVNC para servir no 5899, e freesshd para servir no 2223. ( Conselho do TightVNC sobre encaminhamento de porta .)

Se eu encaminhar o encaminhamento 5899 e 2223 no meu roteador, posso conectar os dois diretamente (no 5899) e por meio do encaminhamento de porta ssh:

ssh -p 2223 -L 5699:<myip>:5899 myaccount@<myip>

e conectando-se ao localhost: 5699. Até aí tudo bem.

No entanto, se eu fechar a porta 5899 no meu roteador, não consigo me conectar mesmo usando o encaminhamento de porta ssh. Eu recebo esta mensagem no console do windows que eu tenho ssh-ed para:

channel 3: open failed: connect failed: Connect failed

Examinar os registros mostra muitas coisas que não entendo. "ssh -v" mostra que está tentando encaminhar o 5699 local para o remoto 5899, o que está correto.

Eu gostaria de fechar 5899 se eu puder, porque essa é uma porta VNC aberta sem um nome de conta, ela tem apenas uma senha VNC (com um comprimento restrito a 8 caracteres!). Parece inseguro.

Como eu fecho o 5899 e ainda consigo conectar via tunelamento ssh?

Nota : Eu li Por que não consigo me conectar ao meu servidor VNC de fora da minha rede? e não vejo como aplicar o conselho lá.