O tráfego de texto sem formatação entrará e sairá dos dispositivos tunX; você pode encontrar as opções -i tun+
e -o tun+
para iptables, que correspondem a qualquer interface tun, útil para lidar com isso.
O tráfego criptografado será UDP / TCP na porta 1194 ou, como você especificou, na sua interface ethernet. Ao filtrar o tráfego para o servidor, não se esqueça de permitir os pacotes criptografados pelo OpenVPN.
E quanto às cadeias, o tráfego criptografado chegando é considerado terminado no servidor openvpn, então essa é a cadeia INPUT; a saída de tráfego criptografada é considerada originada no servidor, então essa é a cadeia OUTPUT. O tráfego entre sua rede interna e as interfaces tunX
é de responsabilidade da cadeia FORWARD.