Você está certo: trata-se de roteamento, não tem nada a ver com segurança.
Lendo este artigo sobre como configurar o OpenVPN , Vejo o seguinte parágrafo:
Raspbian has a firewall to protect your Raspberry Pi from unknown and unexpected Internet sources. We still want the firewall to protect us from most incoming and outgoing network traffic, but we need to poke an OpenVPN-shaped hole in the firewall.
O artigo sugere então usar essa regra iptables para resolver esse problema:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source 192.168.XX.X
com 10.8.0.0 sendo o endereço padrão da VPN para os clientes conectados à VPN, e 192.168.XX.X sendo o endereço IP do servidor OpenVPN na rede local.
Eu poderia estar entendendo completamente isso, mas achei que essa regra significava "para cada pacote com endereço IP de origem 10.8.0.0 , altere o endereço IP de origem para 192.168.XX.X antes de rotear a interface eth0 ".
Se isso estiver correto, como isso "faria um buraco em forma de OpenVPN no firewall"?
O que a regra faz é simplesmente habilitar o SNAT para o traffice originado de um cliente openvpn, para que os clientes openvpn possam usar a conexão de internet deste sistema. Ou seja o tráfego de saída dos clientes openvpn é permitido, portanto, você pode considerar isso como um buraco no firewall. Eu acho que o autor estava tentando escrever em um estilo bem humorado, o que nem sempre funciona ...
Observe que -s 10.8.0.0/24 não significa "endereço IP de origem 10.8.0.0", isso significa "endereço IP de origem na rede 10.8.0.0/24", por exemplo, 10.8.0.* .
Tags iptables