>Вы как я понял настраивали VPN так подскажите пожалуйста
>как выглядит firewall (правила iptables) для машины на которой весит vpn,
>особенно интересует  цепочка forward.

у меня не очень сильные правила, так как vpn используется только для технических нужд.

вот пример для сотрудника, который пользуется диалапным интернетом через своего провайдера:

разрешают внутренний трафик только от и для него:
iptables -I INPUT 1 -i tap1 -s 192.168.104.5 -j ACCEPT
iptables -I OUTPUT 1 -o tap1 -d 192.168.104.5 -j ACCEPT
дальний конец туннеля имеет адрес 192.168.104.5

если на удаленной стороне не один комп, а целая подсетка, до добавляются такие правила:
iptables -I INPUT 1 -i tap0 -s 192.168.0.0/24 -j ACCEPT
iptables -I OUTPUT 1 -o tap0 -d 192.168.0.0/24 -j ACCEPT
где 192.168.0.0/24 - подсеть в филиале

разрешают подключение из интернета к OpenVPN:
iptables -I INPUT  1 -p udp -i eth1 -s 111.222.333.0/24 --sport 1234 --dport 1234 -j ACCEPT
iptables -I INPUT  1 -p udp -i eth1 -s 111.222.444.0/24 --sport 1234 --dport 1234 -j ACCEPT
iptables -I INPUT  1 -p udp -i eth1 -s 111.222.555.0/24 --sport 1234 --dport 1234 -j ACCEPT
iptables -I OUTPUT 1 -p udp -o eth1 -d 111.222.333.0/24 --sport 1234 --dport 1234 -j ACCEPT
iptables -I OUTPUT 1 -p udp -o eth1 -d 111.222.444.0/24 --sport 1234 --dport 1234 -j ACCEPT
iptables -I OUTPUT 1 -p udp -o eth1 -d 111.222.555.0/24 --sport 1234 --dport 1234 -j ACCEPT
адреса провайдер выдает динамически из трех пулов 111.222.333.0/24, 111.222.444.0/24 и 111.222.555.0/24 (адреса вымышленные и несуществующие)

кроме того есть правило:
iptables -I FORWARD 1 -o ! eth1 -i ! eth1 -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT
где eth1 смотрит в интернет.
правило довольно опасное, так как разрешает полную внутренню маршрутизацию, но все интерфейсы, кроме общей локалки, находятся под моим личным контролем и обычно вообще пустые.

а вообще правила ничем не отличаются от любых других интерфейсом, ес-сно, кроме имени...