Ключевые слова для поиска: "шлюз iptables".
Опция для проброса трафика через хост:
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p
Для выхода в интернет используем SNAT вместо маскарадинга (но это если у Вас статический внешний IPv4):
iptables -t nat -A POSTROUTING -o eth0 -s 10.8.0.0/24 -j SNAT --to-source 211.233.44.5
Предварительно, при этом предполагаем, что других правил нет, т.к. эти должны идти первыми:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -А FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
Разрешаем 1194/udp, SSH:
iptables -I INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p udp -m udp --dport 1194 -j ACCEPT
Блокируем все остальное:
iptables -P INPUT DROP
iptables -P FORWARD DROP