Você precisa colocar essas regras no gateway .254, que é usado por .14.
Se você precisar bloquear .14 no nível de gateway .1, você precisa garantir que os pacotes estão sendo alcançados com o endereço mac de .14, se os pacotes estão sendo encaminhados por .254 via NAT, então esses pacotes serão ser reembalado com o endereço MAC .254.
Eu recomendo que você crie uma sub-rede para o cliente .14 não conseguir conectar-se diretamente ao gateway .1.