Como permitir somente a sub-rede para a porta com iptables

O que eu estou tentando fazer é DROP quaisquer pacotes para uma porta UDP específica, exceto aqueles da minha sub-rede segura 10.8.0.0/24.

iptables -t nat -A --src 10.8.0.0/24 -p udp --destination-port 63210 -j ACCEPT

Eu recebo este erro: Bad argument: 10.8.0.0/24

Eu não entendo porque isso não funciona ...

• Por que esse comando diz que o IP é um mau argumento?
• Como DROP qualquer outro pacote, fora da sub-rede?
• Devo usar a tabela NAT?
• Como conseguir isso?

Encontrei uma solução assim:

UPDATE

iptables -N xchain
iptables -A xchain --source 10.8.0.0/24 -j ACCEPT
iptables -A xchain -j DROP
iptables -I INPUT -p udp --dport 63210 -j xchain

Após aplicar isso, não consigo acessar a porta de QUALQUER ip ...

PROBLEMA Eu tenho o servidor OpenVPN configurado na interface tun0, encaminhando os pacotes para a eth0 assim:

iptables -I FORWARD -i tun0 -o eth0 \
         -s 10.8.0.0/24 -m conntrack --ctstate NEW -j ACCEPT

iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED \
         -j ACCEPT

iptables -t nat -I POSTROUTING -o eth0 \
          -s 10.8.0.0/24 -j MASQUERADE

A pergunta é, como capturar o tráfego tun0 e filtrá-lo, em vez de eth0, onde os IPs se tornam reais.