Você não precisa abrir portas encapsuladas no firewall. Você está bem abrindo apenas a porta SSH.
Você pode estar sendo pego por um dos poucos problemas.
- As portas locais podem já estar em uso. Tente usar o netstat para ver se a porta está ocupada.
- Quando você se conecta à porta de túnel, você encontrará um host local (127.0.0.1) não o endereço remoto. Alguns softwares podem não gostar disso.
- O encapsulamento pode ser desativado no servidor. Nesse caso, seus túneis não funcionarão.
- Se você estiver fazendo tunelamento para outro host (o endereço do remoto.ip não está no host pelo qual está passando o túnel), você pode estar bloqueado pela configuração AllowTcpForwarding do servidor SSH.
- Se você estiver fazendo tunelamento para uma porta no mesmo host (o endereço de discagem remota é 127.0.0.1 ou algum outro IP no servidor), você está fazendo o tunelamento para o software de destino e pode não gostar dele. Por exemplo, alguns servidores VNC assumem como padrão a prevenção de conexões de mesmo host para evitar condições de loop.
Tente se conectar ao sinalizador de depuração ativado.