Então, o que você quer é rotear o dport 80 para a interface do túnel e todo o restante para o ethernet de saída não conectado?
Você não pode fazer isso com o iptables, pelo menos não por padrão. O iptables pode eliminar, permitir e alterar ou alterar pacotes. O iptables normalmente não toma decisões de roteamento. Na verdade, no momento em que um pacote está sendo avaliado pela tabela FORWARD, a decisão de roteamento já foi feita. É por isso que você pode usar a interface de saída como um parâmetro; já foi determinado.
As regras que você postou aqui simplesmente descartam qualquer coisa que não esteja na porta 80 e no túnel. Pode até mesmo derrubar o túnel, mas acho que isso seria resolvido pelo OUTPUT.
O roteamento com base em políticas está muito além da minha experiência e até mesmo algumas pesquisas rápidas aparecem em várias maneiras de implementá-las. Grosso modo, se é assim que você quer que funcione, você sempre adicionará regras à tabela PREROUTING. Aqui está um doc que descreve um patch para o iptables, então ele adiciona um alvo para alterar rotas diretamente. Aqui está uma seção de um documento de roteamento avançado que usa o iptables para marcar pacotes e conjuntos a tabela de roteamento para operar através das tags. Há ainda mais ("roteamento baseado em política do google usando o iptables"), e infelizmente não tenho idéia de quanto disso é viável com o DD-WRT. Espero que isso possa lhe dar um começo de ajuda para escalar a toca do coelho.