Você normalmente executa todo o seu tráfego de Internet sobre o OpenVPN quando está ativo, e presumivelmente deseja não ter esse vazamento na Internet quando o OpenVPN cair. Como tal, isto é bastante fácil: simplesmente proibir qualquer tráfego de deixar sua interface ethernet regular (que eu assumo aqui é eth0 ) a menos que seja tráfego OpenVPN (que eu assumo aqui é UDP / 1194, modifique apropriadamente para TCP OpenVPN), ou infra-estruturalmente necessário (DNS, ICMP):
iptables -A OUTPUT -o eth0 -p udp --dport 1194 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -j DROP
Eu sei que nem todo ICMP é necessário, mas eu pessoalmente não acho mal em permitir que as solicitações PING e PONG sejam respondidas; modifique as regras acima se você fizer isso. As regras iptables são sensíveis à ordem, portanto, se você já tiver regras em sua cadeia OUTPUT, então, colocá-las no lugar certo é algo que você precisará ter o cuidado de fazer.