Der Kunde ist über einen stehenden VPN-Kanal zu erreichen. Man möchte aber auf Nummer sicher gehen, nicht durch eine kleine Unachsamkeit ein Skript doch auf Produktion auszuführen. Dann kann man folgendes tun:

1. gufw installieren
2. sudo ufw deny out to 10.xxx.xxx.0/24 (über grafische Oberfläche eingeben macht keinen Spaß)
3. gufw starten und Firewall „On“-Schalten

Jetzt ist das VPN-Subnetz auf Knopfdruck ge-/entsperrt und ich kann sicher arbeiten.

Bei einem Reboot ist die Firewall mit dieser Regel voreingestellt aktiv.

(Danke Michael für den Tip!)