Я использую IPSEC в туннельном режиме.
Как создать правило iptables, которое будет соответствовать только пакетам, пришедшим через туннель IPSEC (т.е. после IPSEC расшифровал их - не пакеты IPSEC при их поступлении и до расшифровки).
Дело в том, чтобы иметь определенный порт, который будет доступен только через IPSEC и недоступен для остального мира.
Вам необходимо использовать модуль политики и указать ipsec политика, чтобы соответствовать этому трафику. Следующее правило, например, разрешает весь входящий трафик на TCP-порт 12345. Не забывайте, что порядок правил важен в iptables, и что вам может потребоваться также разрешить возврат половины пакетов, в зависимости от вашего текущего OUTPUT ограничения.
iptables -A INPUT -m policy --pol ipsec --dir in -p tcp --dport 12345 -j ACCEPT