Eu não usaria o conntrack nesse cenário, mas um conjunto muito mais simples
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A INPUT -s 10.10.10.10 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A OUTPUT -d 10.10.10.10 -j ACCEPT
Não há necessidade de rastreamento de conexão. Você também não precisa das regras DROP
no final, a propósito, o -P ... DROP
cuida disso.
Você também vai querer ter certeza de usar o IP do servidor VPN na sua configuração, caso contrário, você terá que colocar o DNS na lista de permissões também:
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT