Antingen har du en VPN klient som skapar ett nytt interface (som i princip beter sig som ett nytt nätverkskort). Då kan brandväggen se anslutningen och behandla den som ett nätverkskort. (listas i ifconfig)
Det andra alternativet är att din VPN jobbar som en applikation och skickar all data på en port. Då kan inte brandväggen se vilken port data skickas på då allt sänds på samma port. Då är det upp till din VPN applikation att blockera anslutningar.
Jag vet inte vilken typ av VPN du satt upp och med vilket program.