Você deve dar uma olhada no módulo de política do iptables, que corresponde aos pacotes com base em sua relação com as diretivas IPsec (consulte man 8 iptables ou man 8 iptables-extensions para obter detalhes).
Como o módulo é melhor aplicado, realmente depende de como o resto do seu firewall está configurado e quais são seus requisitos exatos. Por exemplo, configurar a política padrão (firewall) para as cadeias INPUT e FORWARD para DROP (atenção ao fazer isso via SSH, como você poderia bloquear você da sua máquina) e, em seguida, usar o script updown padrão do strongSwan ( leftfirewall=yes ) basicamente fará tudo relacionado aos túneis IPsec para você. O script adicionará automaticamente as regras apropriadas de entrada e encaminhamento (usando o módulo de política) para permitir somente tráfego de / para a sub-rede encapsulada através de túneis IPsec (na verdade, para road-warriors somente IPs atribuídos serão permitidos, nem mesmo a sub-rede inteira) .
Se você não quiser fazer o acima, adicione algumas regras manualmente. Com as opções a seguir, você pode combinar os pacotes que chegaram por meio de qualquer conexão IPsec (use --dir in|out para especificar a direção):
-m policy --dir in --pol ipsec
Portanto, se você simplesmente deseja descartar pacotes com um IP de origem da sub-rede que NÃO chegou via IPsec, você pode adicionar as seguintes regras:
iptables -A INPUT -s 192.168.99.0/24 ! -m policy --dir in --pol ipsec -j DROP
iptables -A FORWARD -s 192.168.99.0/24 ! -m policy --dir in --pol ipsec -j DROP