Я не понял зачем Вы что-то убираете.
Правила
-A FORWARD -i br0 -o tun1 ! -d 192.168.254.9 -j ACCEPT
-A FORWARD -i em0 -o tun1 -j ACCEPT
лишние (а второе, я бы сказал, даже вредное), так как уже есть
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
Непонятно назначение это правила
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
Обычно функцию фильтрации трафика оставляют за таблицей filter, хотя для снижения кол-ва правил можно добавить условия выполнения правила и в других таблицах, но это скорее исключение.
Правила
-A FORWARD -i tun1 -o br0 ! -s 192.168.254.9 -j ACCEPT
-A FORWARD -i br0 -o tun1 ! -d 192.168.254.9 -j ACCEPT
обеспечивают отсутствие доступа к локалке
Ну я бы сказал, что это правила разрешает доступ в локалку всем клиентам OVPN, кроме конкретно указанного.
Итак, Вы добились, что пользователь при подключении к OVPN получает адрес 192.168.254.9 и получает доступ к интернет, без доступа в локалку. Остальные клиенты имеют доступ везде и вся (сами виноваты)