Ubuntu VPN Gateway Conf: правила IPtables и ProxyARP

Я хочу использовать коробку ubuntu 18.04 (192.168.1.50), на которой запущен клиент WireGuard для коммерческой VPN, в качестве шлюза к локальной сети. WG использует wg-quick и включена в качестве службы. Unbound установлен, и для systemd-resolved установлено значение DNSStubListener=no. resolv.conf настроен на использование того же DNS-сервера, который назначен провайдером VPN (для wg0.conf).

Основной маршрутизатор находится на 192.168.1.1 и блокирует внешний доступ к шлюзу VPN (я знаю, что INPUT открыт).

Шлюз работает, но правила IPtables должны работать. Как ужесточить правила, когда цель состоит только в том, чтобы ящик работал в качестве шлюза? Я хочу использовать IPtables только для конфигурации, необходимой для этой работы, все остальное должно идти в UFW, который еще не установлен. Эти правила IPtables будут помещены в PostUp/PostDown wg0.conf.

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  192.168.1.0/24       anywhere             tcp dpt:domain
ACCEPT     udp  --  192.168.1.0/24       anywhere             udp dpt:domain
DROP       udp  --  anywhere             anywhere             udp dpt:domain
DROP       tcp  --  anywhere             anywhere             tcp dpt:domain

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

ОБНОВЛЕНИЕ: Хотя приведенный выше конфиг работает, я сбросил iptables, чтобы начать заново.