Для OpenSSH вы можете использовать PermitOpen host:port
для ограничения, куда пользователи могут туннелировать. Чтобы позволить им туннелировать к MySQL, который только локально прослушивает порт по умолчанию:
PermitOpen LocalHost:3306
Со страницы руководства для sshd_config:
PermitOpen
Определяет пункты назначения, к которым разрешена переадресация портов TCP. Спецификация пересылки должна иметь одну из следующих форм:
PermitOpen host:port
PermitOpen IPv4_addr:port
PermitOpen [IPv6_addr]:port
Можно указать несколько форвардов, разделив их пробелами. Аргумент any может использоваться для снятия всех ограничений и разрешения любых запросов на пересылку. Аргумент none может быть использован для запрета всех запросов на пересылку. По умолчанию все запросы на переадресацию портов разрешены.