Как упоминалось ранее, перейдите к /usr/share/applications, но вместо копирования / вставки (это скопирует все содержимое файлов), щелкните правой кнопкой мыши и сделайте ссылку, затем скопируйте ТО, который будет просто скопировать значок, а не всю папку содержание.
Первый вопрос: можете ли вы получить доступ к своему DNS-серверу? Если вы блокируете доступ ко всем, кроме tun0, вы можете блокировать доступ к DNS.
Если вы используете какой-то DNS-сервер локально, это полный Bind или что-то вроде dnsmasq, эта служба также должна иметь доступ к Интернету.
Я бы предложил добавить запись журнала в ваш iptables, прежде чем отклонять, чтобы увидеть, какой трафик отклоняется.
Использование порта 53 является стандартным способом защиты от безопасности, поэтому открытие *: 53, вероятно, неразумно, поэтому вам лучше всего назначить ваш DNS-сервер (локальный и восходящий) в качестве приемлемых целей для трафика. Я предполагаю, что --sport xxxx вы имели в виду, что используете нестандартный порт вместо: 80 для своего веб-сервиса. Если нет, вы должны указать, что в вашем правиле 192.168 (то же самое для IP, это должен быть полный адрес / 32).
Также не забывайте, что если вы хотите использовать ping для тестирования, вы 'll нужно настроить iptable записи для ICMP. ICMP 8 (эхо) - это пинг, ICMP 0 - ответ ping.
Также стоит подумать о том, какие маршруты у вас есть, так как вам необходимо убедиться, что маршрут по умолчанию для трафика - tun0. Если tun0 является единственным допустимым интерфейсом, вам необходимо обеспечить, чтобы все маршруты, которые вам нужны, отправляли трафик таким образом.
Если это не диагностирует ваши проблемы, используйте ethtool, чтобы сделать некоторые сетевые обнюхивания, посмотреть, какие разговоры делают это, а какие нет. Это может быть что-то странное, например REQ, но ACK не возвращается.