ssh usar com netcat para encaminhar conexões via host bastion para dentro da máquina

Estou tendo um servidor em um data center corporativo que é o administrador do sistema sou eu. Existem algumas máquinas virtuais sendo executadas nele. O servidor principal é acessível da Internet via SSH. Existem algumas pessoas que dentro da lan acessam as máquinas virtuais cujos IPs na LAN são

192.168.1.1  
192.168.1.2  
192.168.1.3
192.168.1.4

a máquina principal, que é um host de bastiões para internet, tem o IP 192.168.1.50 e só eu tenho acesso a ele. Eu tenho que dar às pessoas na internet o acesso às máquinas internas, cujo IP eu mencionei acima. Eu sei que o túnel é um bom caminho, mas as pessoas são bastante não técnicas e não querem entrar em um túnel etc jargons. solução conforme explicado em este link Na máquina de gateway que é 192.168.1.50 no arquivo .ssh / config eu adiciono seguinte

Host securehost.example.com     
ProxyCommand ssh [email protected] nc %h %p

Agora, minha pergunta é que preciso criar contas separadas no host bastion (gateway) para os usuários que podem SSH nas máquinas internas e em cada um dos usuários .ssh / config Eu preciso fazer a entrada acima ou onde exatamente eu coloquei o .ssh / config no gateway.

Também ssh [email protected]

onde user1 existe somente dentro da máquina 192.168.1.1 e não no gateway é essa sintaxe correta? Porque as máquinas internas são accessilbe para o mundo exterior como

site1.example.com
site2.example.com
site3.example.com
site4.example.com

Mas o SSH é apenas para example.com e apenas um usuário. Como devo ir para .ssh / config
1) Qual é a sintaxe correta para o ProxyCommand no .ssh / config do gateway? devo usar o ProxyCommand ssh [email protected] nc %h %p ou devo usar

ProxyCommand    ssh [email protected] in nc %h %p

2) Devo criar novas contas de usuário no gateway ou adicioná-las em AllowedUsers em ssh_config é suficiente?