192.168.97.100
у VPN-клиентов через VPN-туннель, а также убедиться, что маршрутизация этого адреса не заблокирована на Raspberry (VPN-сервере, как я полагаю). Но я все еще могу ввести s1.domain.com:9090 или domain.com:9090 и попасть на второй сервер
iptables -A FORWARD -m ipp2p --bit -j DROP
Не смогут ли посторонние лица эксплуатировать сервер в качестве маршрутизатора?Могут, у вас же в IPv4 FORWARD-таблице policy accept без каких-либо запрещающих правил.
iptables -A FORWARD --protocol tcp --sport 5900 --jump ACCEPT