Итак, после долгих экспериментов выяснил следующее.
1. Правило Default_Access_Rule применяется до того, как пинги приходят внутрь, т.е. не доходит даже до применения IP Rules для фильтрации и перенаправления трафика.
2. Если PBR не задавать, то все пинги (и другие протоколы) проходят, правило Default_Access_Rule не появляется в логе, но возникает проблема с возвратом трафика на неосновной канал.
3. Если задать два таких (или аналогичных) PBR, то второй интерфейс (независимо от того, основной он или нет) перестает принимать трафик дропая его по правилу Default_Access_Rule. Трафик, инициированный изнутри, ходит нормально.
Этими правилами я хотел указать, чтобы весь трафик уходил туда, откуда пришел (независимо от того, какой у меня канал сейчас основной). К каждому правилу привязана таблица маршрутизации через соответсвующий интерфейс. Однако, если одно из правил убрать, то все начинает работать.
Что я делаю тут не так? Я думал, что PBR обрабатываются по очереди до первого совпадения. А тут, оказывается, совсем другой алгоритм. Есть у кого-нибудь комментарии по этому поводу?
Еще в процессе экспериментов обнаружил, что сохраненная (рабочая) кофигурация после обратной загрузки может оказаться ошибочной с точки зрения устройства.