Am I right : your IP is masked.
Ligeiramente mascarado. Para algo como uma solicitação básica de HTTP ou FTP, ela parecerá vir do endereço do servidor VPN, mas com cabeçalhos de e-mail completos, Javascript e iFrames em sites, dependendo da configuração que pode ser possível para alguns servidores verem ou funcionarem o seu IP.
A empresa de VPN pode vazar seu IP se ele for malicioso (por exemplo, inseri-lo em cada cabeçalho HTTP).
But at each "node" (->), the server owner can listen to your data , right ?
Sim. Você está fazendo as pessoas da VPN agirem como seu provedor de serviços de internet. Eles têm acesso completo a tudo o que acontece na conexão, a menos que seja criptografado de ponta a ponta, por exemplo, por HTTPS ou SSH.