Владимир

просто не добавляйте правило POSTROUTING с --to-source

iptables -t nat -I POSTROUTING -d 2.2.2.2 -p udp --dport 9999 -j SNAT --to-source 1.1.1.1

промаркировать пакеты на определенный порт в iptables
по метке с помощью ip rule зарулить в отдельную таблицу маршрутизации

совместно работать могут
в iptables есть возможность маркировать пакеты в цепочке mangle
в iproute2 и tc могут использовать эти метки в своих целях

где маски сетей?
если сервер и роутер в одной L2 сети, то можно

изменить в nat (можно вообще убрать, если у 192.168.190.2 основной шлюз 192.168.190.1)

-A POSTROUTING -d 192.168.190.2 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.190.1

добавить в filter

-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.190.2 -p tcp -m tcp --dport 80 -j ACCEPT

проверить разрешен ли форвардинг
cat /proc/sys/net/ipv4/ip_forward

что-то я сомневаюсь что там udp

дело не имел с этим так что первая линия диагностики:
в первой консоли
tcpdump -i tun0 -vnn host 82.119.129.210 -c 1000
во второй консоли
tcpdump -i eth0 -vnn host 82.119.129.210 -c 1000
делаете что-нить что должно долететь до 82.119.129.210 и находящееся за tun0
смотрите что долетело до маршрутизатора в первой
что улетело после во второй тут же что вернулось
и снова в первой полетело ли то что вернулось на туда куда надо

если DROP прописаны после

ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED

то дропаться будут только новые соединения
дропать нужно в самом начале цепочки

скорей всего прилетает с другого интерфейса
все что пролетит мимо цепочки fail2ban ляжет в syslog по правилу
iptables -I INPUT 2 -p tcp --dport 22 -j LOG
вот там и смотрите через какой интерфейс летело

вообще нужно посмотреть все привила, т.к. таблица NAT может директнуть пакет так что он в INPUT filter вообще не попадает
и не забывать про ipv6

iptables-save -c
ip6tables-save -c

iptables -P INPUT ACCEPT 
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -X
iptables -F

сначала разрешаем все по дефолту иначе терминал прибивает сразу после iptables -F

допустим на интерфейсе vlan10 176.x.x.x, на vlan20 212.y.y.y, 192.168.1.10 находится за eth0

добавить в /etc/iproute2/rt_tables

101 prov1
102 prov2

выполнить

# ip rule add from all fwmark 0x1 lookup prov1
# ip rule add from all fwmark 0x2 lookup prov2

# iptables -t mangle -A PREROUTING -i vlan10 -m conntrack --ctstate NEW -j CONNMARK --set-mark 0x1
# iptables -t mangle -A PREROUTING -i vlan20 -m conntrack --ctstate NEW -j CONNMARK --set-mark 0x2
# iptables -t mangle -A PREROUTING -i eth0 -m conntrack --ctstate ESTABLISHED -j CONNMARK --restore-mark

# iptables -t nat -A PREROUTING -i vlan10 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.10:80
# iptables -t nat -A PREROUTING -i vlan20 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.10:80

# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o vlan10 -j SNAT --to-source 176.x.x.x
# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o vlan20 -j SNAT --to-source 212.y.y.y

# iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# iptables -A FORWARD -p tcp -m tcp -d 192.168.1.10 --dport 80 -j ACCEPT

посмотреть полный выхлоп правил
iptables-save
возможно в таблице nat есть REDIRECT с 80 порта.
он отработает раньше чем INPUT в таблице filter.

самый простой способ проверить где пролетает
выполнить

iptables -A INPUT -s BANNED_IP -j LOG
iptables -t nat -A PREROUTING -s BANNED_IP -j LOG

и смотреть syslog