Серьезно с вашими конфигами не разбирался. Но по опыту:
1) Чтобы интерфейс начал пропускать пакеты на вход-выход (замыкая обработку трафика на себе, без передачи другим интерфейсам) в Shorewall нужно использовать опцию routeback в файле interfaces. Как в примере по вашей ссылке, в Example 5.
2) Не понял зачем в zones описан eth1 дважды для обоих внутр.подсетей. В моих конфигах такое не используется. Ну может и не сильно влияет на проблему. Хотя..