Но без него никак. Это же мастхэв. Prerouting, postrouting, input. Input обычно по умолчанию drop. А дальше port hopping через prerouting dnatом или redirectом. По умолчанию фаер и должен быть отключен. А дальше выбор юзера. Но с ufw не сложилось, никогда им не пользуюсь.