Dotaz: SSH & Dynamic proxy & permitopen v authorized_keys

Dobré dopoledne,

řeším, jak držitele soukromého ssh klíče omezit na SSH serveru pouze na forwardování (místní i vzdálené) několika portů a současně mu umožnit využít dynamickou proxy (SOCKS) implementovanou v SSH, avšak bez možnosti směrování v definovaných sítích (konkrétně chci omezit přístup do LAN, ve které je SSH server).

Jestli to dobře chápu, tak není jiné cesty než instalace samostatného proxy serveru (squid) a použít permitopen="proxy-stroj:port", protože jakékoliv použití permitopen zablokuje SOCKS kompletně, a i kdyby ne, tak dynamická proxy SSH server nejde dále konfigurovat.

Pro info obsah authorized_keys:

command="while :; do echo 'This account may only be used for tunnels.'; sleep 50; done",no-pty,no-X11-forwarding,no-agent-forwarding,permitopen="any:10045",permitopen="localhost:80" ssh-rsa AAAABxxxx

Nebo je i jiná (jednodušší) cesta?