A partir da descrição da opção -D [bind_address:]port :
By default, the local port is bound in accordance with the GatewayPorts setting. However, an explicit bind_address may be used to bind the connection to a specific address. The bind_address of "localhost" indicates that the listening port be bound for local use only, while an empty address or '*' indicates that the port should be available from all interfaces.
O padrão para a configuração GatewayPorts é no , portanto omitir a parte bind_address desse argumento da opção permitirá que apenas as conexões locais usem o encapsulamento. Para permitir que o túnel seja usado a partir de outro computador, você precisará se ligar também a outras interfaces usando ssh -fND '*:9999' server