Você fez duas perguntas:
- Como podemos garantir que o tráfego nos hosts intermediários não seja "farejado"?
A resposta é que você não precisa fazer nada. A conexão EACH ssh é criptografada. O tráfego "visto" por ruapehu
e aoraki
não está desimpedido. Você não precisa adicionar nenhuma camada de criptografia adicional.
- Como você pode habilitar o encaminhamento de porta para o destino?
A resposta mais fácil é usar o arquivo ~/.ssh/config
e adicionar uma diretiva apenas ao destino, como em (emprestado da sua própria referência, adicionando apenas a linha última ):
Host ruapehu
HostName ruapehu.example.com
Host aoraki
ProxyCommand ssh -q ruapehu nc -q0 aoraki 22
Host tongariro
LocalForward 80:somesite.com:80
ProxyCommand ssh -q aoraki nc -q0 %h 22
Ou seja, supondo que você pode abrir a porta 80 em seu host local, caso contrário, você pode ter que usar uma porta sem privilégios, algo acima de 1024 (dependendo do seu host e configuração).