Использование туннелей на основе ssh сейчас широко распространено. И многие используют его как 
универсальное решение для организации туннелей внутрь локальной сети для
доступа к различным сервисам.
И в связи с этим очень часто возникает вопрос "А как ограничить возможности такого туннеля".

Например: 
есть компания, которая обслуживает ваш web сервер. Для выполнения этой работы требуется доступ 
к серверу web-server.dmz по портам 80 и 443.

Решение: 
на сервере ssh, через который создаётся туннель, выполняем: 

1) добавляем пользователя aaa

2) устанавливаем ему шелл /bin/false (или другой, только так чтобы он не мог залогиниться)

3) Добавляем правила iptables:

   iptables -A OUTPUT -d web-server.dmz -p tcp -m tcp --dport 80 -m owner --uid-owner aaa -j ACCEPT
   iptables -A OUTPUT -d web-server.dmz -p tcp -m tcp --dport 443 -m owner --uid-owner aaa -j ACCEPT
   iptables -A OUTPUT -m owner --uid-owner aaa -j REJECT