Este é um bug no NetworkManager v1.0.10-1. Desagradável - Tenho sorte de ter esse firewall, caso contrário meu tráfego teria sido exposto, já que a rota padrão é preservada. Por enquanto, o downgrade, a atualização para uma versão mais recente (ainda não nos repos Debian) ou um script de dispatcher personalizado corrige-o.