OpenVPN & iptables - Datenverkehr zu bestimmten Hosts auf der Serverseite zulassen

Ich habe einen OpenVPN-Server auf einem Raspberry Pi eingerichtet und gemäß dem HOWTO konfiguriert . Ich möchte bestimmte Hosts aus dem Server-Subnetz (192.168.123.0/24) den Clients zugänglich machen.

ich benutzte

push route 192.168.123.0 255.255.255.0

in der server.conf Datei. Auch ich richte iptablesden folgenden Weg ein:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#allow ssh and vpn on pi - working fine
...

Laut OpenVPN - Zugriffsrichtlinien sollte dies die Weiterleitung von Traffichs an einen bestimmten Host oder das gesamte Subnetz ermöglichen (aus dem HOWTO extrahierte Zeilen - diese Adressen sind nicht meine tatsächlichen Adressbereiche):

# Employee rule
iptables -A FORWARD -i tun0 -s 10.8.0.0/24 -d 10.66.4.4 -j ACCEPT

# Sysadmin rule
iptables -A FORWARD -i tun0 -s 10.8.1.0/24 -d 10.66.4.0/24 -j ACCEPT

# Contractor rule
iptables -A FORWARD -i tun0 -s 10.8.2.0/24 -d 10.66.4.12 -j ACCEPT

Beides hilft nicht. Allerdings wenn ich das setze

iptables -P FORWARD ACCEPT

und sonst nichts, ich kann alle gastgeber sehen, die ich nicht will. Was mache ich falsch?

Danke für deine Hilfe.

Fehler in Schicht 8 die ganze Zeit!

Ich habe vergessen, den Verkehr durch mein Tunnelgerät zurückzulassen.

Die Lösung ist

#Set default policy of chain 
iptables -P FORWARD DROP

#allow traffic to route from VPN subnet to specific host in subnet
iptables -A FORWARD -i tun0 -s {VPN subnet} -d {host in server subnet} -j ACCEPT
#allow traffic from host in server subnet back to VPN subnet
iptables -A FORWARD -o tun0 -s {host in server subnet} -d {VPN subnet}

Ich wurde von diesem Beitrag hier inspiriert:

https://forums.openvpn.net/viewtopic.php?t=20369