>можно привести другой пример: добавили правило
>--src x --dport y -j ACCEPT
>после этого vpn сбойнул (или по каким-то другим причинам не отработал скрипт
>удаления правила для ip x) А если при старте vpn он будет чистить свои цепочки. Ну если vpn "сбойнул" то при рестарте
vpn он почистит цепочки, а клиенты при переподключении автоматом добавятся в цепочки (смысл хранить привила при рестарте vpn клиентам всё равно переподключаться). Скрипт не завист от работы vpn, демон либо работает и скрипт пускается и работает не зависимо от него, либо vpn не работает.
>после запуска openvpn кто-то другой получает ip-адрес x, и для него уже
>есть правило (осталось от предыдущего клиента). В iptables к сожалению нет
>возможности просто выполнить
>iptables -D FOWRAWD --src x *
>(wildcards не поддерживаются)
>нужно четко задавать правила, а парсить вывод iptables -nv, а потом на
>основе полученного генерировать параметры для iptables -D ... чревато один лишний
>параметр не подхватил и правило не удалилось. Надо что-то простое как
>молоток.
Чистка цепочек при запуске которыми будет управлять vpn, с последующим добавлением и удалением правил при подключении и отключении клиентов разве не достаточно молоткообразное решение. А так "по каким-то другим причинам" может не отработать что угодно. Сомневаюсь что openvpn при нормальной работе будет пускать соответствующие скрипты через раз при добавлении или отключении клиента, ну да скрипт придётся скорей всего писать самому, вот внём конечно надо будет учитывать нюансы.