Уберите из правил маршрутизации "интерфейс назначения". DFL берет его по главной таблице, ибо чтобы воспользоваться альтернативной, нужно сначала применить правило (можно бы было догадаться ). В результате правило №2 не работает совсем. Правила рассматриваются сверху вниз и в конце подразумевается -- что не попало под явно написанное, идет по главной таблице. С учетом этого правило №1, вероятно, нужно убрать. Лучше убрать сервисы (поставить all_services), если нужно ограничить -- делайте это в правилах файрволла (IP Rules). Таблицы маршрутизации также лучше почистить -- в каждой нужен только один маршрут в all_nets (т. е. в Интернет).