UFW 伪装和外部流量仅在特定接口上

在你的问题描述和你设置的 UFW 规则之间，在我看来你想让你的 WireGuard 服务器做这 4 件事？：

1. 在其 wg200 网络上的任意两台主机之间转发连接。
2. 伪装从其 wg200 网络上的任何主机到其 eth0 网络上的任何主机的连接。
3. 在其 wg245 网络上的任意两台主机之间转发连接。
4. 伪装从其 eth0 网络上的任何主机到其 wg245 网络上的任何主机的连接。

如果这些是您想要允许的唯一 4 件事，那么这些是您需要的唯一 UFW 路由规则：

ufw route allow in on wg200 out on wg200
ufw route allow in on wg200 out on eth0
ufw route allow in on wg245 out on wg245
ufw route allow in on eth0 out on wg245

另外，您需要向您的（如果您想伪装＃4）添加第二MASQUERADE条规则：/etc/ufw/before.rules

*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.255.200.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.A.0/24 -o wg245 -j MASQUERADE
COMMIT

请注意，UFW 会自动为您设置这两件事：

1. UFW 使用连接跟踪来允许已在一个方向上转发的连接的目的地回复连接的初始源（因此您只需要为“转发”方向指定规则，而不是“反向”方向）。
2. UFW 会阻止所有转发的连接，但您明确允许的连接除外（因此您无需拒绝未明确允许的连接）。

所以要对你现有的路线规则挑剔：

(1) ufw route allow in on wg200 out on any
(2) ufw route allow in on wg200 out on eth0
(3) ufw route allow in on eth0 out on wg200
(4) ufw route allow in on wg245 out on wg245 to any from any
(5) ufw route reject in on wg245 out on any to any from any

• (1) & (2) 是多余的——如果有 (1) 则不需要 (2)——但 (1) 还允许 wg200 中的任何主机连接到 wg245 中的任何主机（不确定是否需要那？）
• (3) 仅当您希望允许来自 eth0 网络的主机启动与 wg200 网络的新连接时才需要；如果您的 eth0 网络中的主机始终位于 wg200 网络连接的接收端（这可能是因为您从 wg200 伪装到 eth0），那么您不需要此规则
• to any from any在 (4) 上不需要
• (5) 不需要