1. Jeśli internety nie kłamią, to twoja wersja łubudu używa systemd. Tutaj masz info jak "załączyć" rc.local https://askubuntu.com/questions/765120/ … -a-command , a z rc.local wywołasz dowolny skrypt, np. firewall.sh z twoimi regułami iptables.
2. Albo używasz celu masquerade albo snat, żeby mieć nat na interfejsie. Celu dnat używasz do przekierowania portów z WAN na hosta w sieci lokalnej.
3. "natujesz" ruch wychodzący (przez WAN, łańcuch postrouting), a nie w obie strony (twój przykład z masq).
4. W drugiej regule z masq (niepotrzebnej) masz błędny zapis -zero , a nie -o (oznacza out interface).
5. Wpisz w google linux firewall script i wyskoczy Ci najprostszy skrypt mający chyba z 8 linii/reguł (liczone łącznie z czyszczeniem reguł i łańcuchów na początku.To ci wystarczy, żeby zapewnić nat i żeby było bezpiecznie.
6. Musisz się upewnić, że ipv4 forward masz załączone.

Trochę włóż w to serca i poczytaj.

Skrypt, który podałeś jest oparty na łańcuchach INPUT, czyli pozwala na łączenie się z zewnątrz do usług na serwerze. Mi raczej chodziło o coś w tym stylu https://www.slackwiki.com/NAT_Script - prosty skrypt do natowania. Nie jest napisany w stylu systemd, ale korzystając ze sztuczki z rc.local też zabangla. Na początek wykomentuj tylko linie zawierające "$ipt -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT" oraz "$ipt -A INPUT -p tcp --destination-port 22 -j ACCEPT" i zmień adresy/zakresy adresów na początku skryptu. Jeśli masz zmienne ip to musisz pomienić też regułę "natującą" ze SNATa na MASQ. Nie zapomnij też o ipv6 - jeśli nie używasz, to na razie wyłącz to w systemie - załączysz, jak będziesz wiedział co robisz. Ewentualnie czeka cię nauka ip6tables.
A do tego czytaj, dużo czytaj. Na początek interesuje cię iptables (tablice, łańcuchy, cele, polityki) oraz https://www.lartc.org/. Po takiej lekturze powinieneś zrozumieć ten prosty skrypt.
Sorki za chaotyczność, ale piszę z telefonu.