A dhcp-relay-el az egyik VLAN DHCP forgalma belekeveredik a másikéba, nem ez a probléma?
Az iptables számára IP szinten a vlan3001 és vlan3038 egyedi interfészek, persze. De a DHCP Layer 2 szinten van és a dhcp-relay már az előtt elkapta a csomagot, hogy az iptables láthatta és kiszűrhette volna.