Testei e funciona quando você os coloca na cadeia de ataque. Testei-o através do openvpn e colocando (para testar!) Esta regra no topo da cadeia. Todas as outras redes podem passar e somente o tráfego proveniente da rede 10.8.1.0/24 não está recebendo mais de 443:
-A FORWARD -s 10.8.1.0/24 -p tcp --dport 443 -j DROP
-A FORWARD -i tun+ -j ACCEPT
Então eu estava certo e posso resolver isso ainda mais agora.
Obrigado por pensar comigo. ;)