AK> при этом не требует иметь отдельную чудо-машину с белым ip адресом, AK> которую совсем не жалко. Вот это мне кажется и впрямь "слишком велико AK> для подобной задачи". Шелловский доступ ни на одну из своих систем я AK> незнамокому предоставить не готов, а совсем лишних у меня как-то нет. AK> (в том числе и потому, что белый ip нынче небесплатен)
Насколько я понимаю, для работы описанной схемы с "ssh -R" полноценный шелловский доступ на твою машину и не нужен, сойдет служебный пользователь со /sbin/nologin в качестве шелла, или rssh можно применить.