Вы совершенно правы. На маршрутизаторах с IOS трафик инициированный самим маршрутизатором не попадает под ACL.
Если есть такая критичная необходимость не пустить трафик наружу, то самый простой вариант - заворачивать целевой трафик на loopback интерфейс с помощью локального route-map-а.
ip local policy route-map
