Sendo este um túnel aberto em um servidor remoto, esse servidor precisa ter GatewayPorts configurado como yes em seu / etc / ssh / sshd_config.
Dependendo do tipo de usuário que o servidor deseja, use a opção Corresponder para limitar esse recurso ao usuário.
Match User middleuser
GatewayPorts yes
Observe que você provavelmente deseja adicionar este bloco Match no final do seu sshd_config, já que um bloco Match continua até que outro comece, ou o arquivo termina.
Dito isso, que tal experimentar o que eu consideraria uma solução um pouco mais limpa?
user@local$ ssh -N -f -L 10002:behind_fw:22 middleuser@middle
user@local$ ssh remoteuser@localhost -p 10002