NAT'ing в сети, не подключенной напрямую

Со следующей конфигурацией UFW, добавленной в начало before.rules (помимо всех соответствующих предварительных условий, таких как включение IP-маршрутизации на самой платформе, изменение политики пересылки по умолчанию с DROP на ACCEPT и включение IP пересылки в конфигурации UFW):

*nat :POSTROUTING ACCEPT [0:0] -A POSTROUTING -s 10.100.0.0/24 -o ens3 -j MASQUERADE
COMMIT

должна ли подсеть 10.100.0.0/24 напрямую подключаться к любому из интерфейсов виртуальной машины Ubuntu, на которой запущен этот UFW? Если да, то как мне настроить UFW на NAT? не подключенный напрямую к Интернету? Например:

UserA--10.100.0.x/24---10.100.0.1/24--(Router1)--1.1.1.1/24-----1.1.1.2/24--(UFW)--Internet

Заранее большое спасибо!