Я використовую IPSEC в тунельному режимі.
Як зробити правило iptables, яке відповідатиме лише пакетам, які надійшли через тунель IPSEC (тобто після того, як IPSEC розшифрував їх, а не пакети IPSEC, коли вони прибули та до розшифровки).
Сенс у тому, щоб мати певний порт, який буде доступний лише через IPSEC і недоступний для решти світу.