Неожиданное поведение с брандмауэром AWS и правилами отслеживания состояния по умолчанию

Я настроил брандмауэр AWS в нашей тестовой учетной записи, практически следуя стандартной процедуре настройки, описанной AWS. Из нашей частной подсети исходящий трафик, направляющийся в Интернет, направляется в подсеть брандмауэра, где у нас есть другая таблица маршрутизации, направляющая трафик через брандмауэр к шлюзу NAT. Шлюз NAT существует в общедоступной подсети, и внутри этой подсети существует маршрут, который разрешает исходящий трафик в Интернет через интернет-шлюз. В брандмауэре правилом по умолчанию для всех пакетов без сохранения состояния является направление их в группы правил с сохранением состояния. Других групп правил без гражданства не существует. Что касается групп правил с отслеживанием состояния, существует одна группа правил списка доменов, предположительно разрешающая трафик на «.google.com». Правило по умолчанию настроено на удаление установленных соединений.

Вот проблема, с которой я столкнулся: всякий раз, когда я включаю правило по умолчанию «удалить установленное», оно продолжает разрешать весь трафик через брандмауэр. Похоже, что на самом деле это не оказывает никакого эффекта и не снижает трафик на другие домены. Есть ли у кого-нибудь опыт в этом вопросе?