Sto usando IPSEC in modalità tunnel.
Come creare una regola iptables che corrisponda solo ai pacchetti che sono arrivati tramite il tunnel IPSEC (cioè dopo che IPSEC li ha decifrati - non i pacchetti IPSEC quando arrivano e prima della decrittazione).
Il punto è avere un determinato porto che sarà accessibile solo tramite IPSEC e inaccessibile al resto del mondo.