Так как этот был туннель, открытый в удаленном сервере, тому серверу нужно было установить GatewayPorts на да в его/etc/ssh/sshd_config.
В зависимости от каких, пользователей что сервер имеют Вас, мог бы хотеть использовать опцию Match ограничить ту возможность Вашим пользователем.
Match User middleuser
GatewayPorts yes
Действительно обратите внимание, что Вы, вероятно, хотите добавить этот блок Соответствия в конце Вашего sshd_config, так как блок Соответствия продолжается, пока другой не начинается, или концы файла.
Однако как насчет того, чтобы вместо этого пробовать то, что я рассмотрел бы немного более чистым решением?
user@local$ ssh -N -f -L 10002:behind_fw:22 middleuser@middle
user@local$ ssh remoteuser@localhost -p 10002