Предположим, что пользователь подключившийся по vpn получил адрес 10.1.6.15, другие пользователи так же получают адреса из 10.1.6.0\24.
Попробуйте сделать правило в цепочке
forward, action=drop, src-address=10.1.6.0/24, dst-address=10.1.6.0/24
Чуть выше него поставить правило
forward, action=accept, src-address=10.1.6.0/24, dst-address=10.1.6.1
(где 10.1.6.1 это адрес шлюза для пользователей).
Таким образом мы будет резать весь трафик из шестой подсети в шестую подсеть, кроме трафика из шестой к шлюзу.
Если нужно ограничить еще дополнительно все остальные кроме второй, тогда
chain=forward, action=drop, src-address=10.1.6.0/24, dst-address=!10.1.2.0/24
Честно, я не пробовал так делать, но в теории должно сработать. Может знатоки packet flow diagram меня поправят