NAT em uma rede não conectada diretamente

UFW é uma interface para netfilter e usa iptables para configuração.
Isso significa que, ao tentar editar o arquivo de configuração, você está editando as regras do iptables. Portanto, você pode encontrar ajuda no manual do iptables .

Cada regra do iptables faz duas coisas:

1. corresponde ao pacote IP
2. executa a ação no pacote

No caso da regra que você está se perguntando, ela corresponderá a qualquer pacote que já tenha sido roteado para ser enviado para fora da interface ens3, e tenha IP de origem na rede 10.100.0.0/24. Uma vez correspondido, será NATed para o endereço IP da ens3interface.

ENCAMINHAMENTO - sem UFW

Suspeito que você tenha feito suposições ao fazer sua pergunta e não disse qual é o problema real que está tentando resolver. Parece que você não consegue encaminhar a rede 10.100.0.0/24 para a Internet. A questão parece XY Problema
Se você estiver roteando o tráfego através do Linux, você deve habilitar o encaminhamento de ip.
Para verificar se o encaminhamento está ativado, execute:

echo /proc/sys/net/ipv4/ip_forward

Você receberá retorno 0por disablede 1por enabled.

Quando não estiver usando o UFW , você pode habilitá-lo permanentemente editando /etc/sysctl.conf:

echo "net.ipv4.ip_forward = 1" | sudo tee -a /etc/sysctl.conf

O comando acima anexará o texto entre aspas no arquivo mencionado.
Para aplicar a nova configuração, execute:

sudo sysctl -p

UFW

Embora a configuração acima funcione com o UFW , seria aconselhável manter a configuração básica do ufw.
Verifique a configuração do UFW:

sudo ufw status verbose

Você pode ver que a política padrão routedé disabled:

Default: deny (incoming), allow (outgoing), disabled (routed)

Agora edite /etc/ufw/sysctl.conf. As configurações neste arquivo serão substituídas /etc/sysctl.conf
no arquivo acima, localize a linha #net/ipv4/ip_forward=1e remova o arquivo #.
Salve o arquivo e recarregue o ufw:

sudo ufw reload

Ao exibir o status detalhado desta vez, você deverá ver a política roteada padrão alterada de disabledpara deny.

Para permitir o roteamento, execute:

sudo ufw default allow routed

Este comando modificará a /etc/default/ufwlinha, de

DEFAULT_FORWARD_POLICY="DROP"

para

DEFAULT_FORWARD_POLICY="ACCEPT"

MASCARADA

Com as configurações acima, suas regras /etc/ufw/before.rulesdevem funcionar, mas precisam estar antes de *filter. Também é uma boa idéia liberar as regras -Fantes de acrescentar novas -A. Caso contrário, sempre que o serviço ufw for reiniciado, ele adicionará outra cópia da mesma regra.

*nat 
:POSTROUTING ACCEPT [0:0]
-F
-A POSTROUTING -s 10.100.0.0/24 -o ens3 -j MASQUERADE
COMMIT

Depois de aplicar essas configurações, o ufw precisa ser recarregado:

sudo ufw reload

O status do ufw não exibirá a configuração NAT, mas pode ser verificado verificando iptablescom:

sudo iptables -t nat -L -v

e a POSTROUTINGcadeia deve ficar como abaixo:

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         
0     0 MASQUERADE  all  --  any    ens3    10.100.0.0/24        anywhere

Lembre-se que seu firewall também precisará ter uma rota de volta para sua rede 10.100.0.0/24.