Configuración de red interna y externa del servidor Ubuntu 18.04

Tengo un problema en Ubuntu 18.04 Server para configurar la red interna y externa. El caso es que tengo un dispositivo Gateway que tiene servicio DHCP para arrendar direcciones IP para dispositivos conectados a WLAN. La dirección IP eth0 del dispositivo de puerta de enlace es 192.168.1.120 y el dispositivo de puerta de enlace wlan0 tiene una dirección IP estática 10.10.0.1 y el primer cliente wlan obtiene la dirección IP 10.10.0.2. El dispositivo de puerta de enlace eth0 tiene acceso a Internet. Pero los dispositivos conectados a wlan0 solo deben tener acceso a los servicios del dispositivo Gateway, por ejemplo, MySql o API REST personalizadas.

Regla 1: el dispositivo de puerta de enlace debe tener acceso a Internet.

[eth0]<-->[Internet]

Regla 2: Los dispositivos conectados a Wlan solo deben tener acceso a los servicios del dispositivo Gateway.

[WlanClient]<-->[wlan0]<-->[eth0]--||SinAcceso||--[Internet]

Lo que hice es instalar Ubuntu 18.04 Server e instalar los servicios básicos y ahora estoy en el punto de que debo crear restricciones de red.

He realizado las siguientes configuraciones para que los dispositivos conectados a wlan0 puedan utilizar los servicios del dispositivo Gateway. Pero también los dispositivos conectados a wlan0 ahora tienen acceso a Internet, que debería estar restringido.

/etc/sysctl.conf

net.ipv4.ip_forward=1

configuración de iptables

iptables -F
iptables -t nat -F
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables-save  > /etc/iptables/rules.v4
iptables-restore  < /etc/iptables/rules.v4

¿Alguien puede ayudarme con la configuración?