Von welchem Port aus du verbunden bist ist komplett unerheblich und auch rein zufällig. Das ist einfach n Port, den dein Rechner beim Öffnen des Netzwerksocket als Quellport geöffnet hat und hierfür nicht wichtig.
Zu den Befehlen nochmal:
(1) ssh -N user@IP-Server1 -L 8010:IP-Server2:22
Du startest ne ssh Verbindung zu Server1 (das macht der erste Teil des Befehls) und teilst Server1 gleichzeitig mit, dass er den Port 22 von Server2 an deinen lokalen Port 8010 binden soll (der zweite Teil des Befehls).
Du hast also ne aktive ssh Verbindung zu Server1 und zeitgleich lauscht an deinem lokalen Port 8010 der Port 22 von Server2 was letztendlich den ssh Server auf Server2 darstellt.
(2) ssh -N user@127.0.0.1 -p 8010 -L 8011:127.0.0.1:3128
Der erste Teil des Befehls stellt nun wieder eine Verbindung zu ssh Server2 her. Das MUSS aber über Server1 laufen, da nur dieser die Verbindung zwischen Port 8010 auf deiner Maschine und Port 22 von ssh Server2 aufrecht erhält.
Nur weil ssh Server2 an deinem lokalen Port 8010 lauscht erreichst du Server2 über IP 127.0.0.1, das würde sonst ja nicht gehen.
Du hast also nun deine Reihenschaltung der beiden ssh Server erreicht und könntest diese mit bel. weiteren genauso fortführen. Nun wollen wir allerdings ins Internet und hier kommt der Squid ins Spiel.
Der zweite Teil des Befehls bindet nun den Squid Port von Server2 an deinen lokalen Port 8011. Da wir bereits über den ersten Teil des Befehls auf Server2 sind MUSS hier wieder die 127.0.0.1 kommen.
Und damit hast du eine verschlüsselte ssh Kette erreicht bis zum Squid, der auf derselben Maschine läuft wie der ssh Server von Server2. Und das lässt sich wie gesagt beliebig erweitern und ist auch ne saubere Sache im Gegensatz zum Proxifier chaining Mist wo keine Sau weiß was der überhaupt verkettet...