Если верить захвату пакетов, то никакие пакеты в таком случае не дойдут до локальной сети из-вне. Если интересно почему - причина NAT. Если пытаться пробрасывать порты, то они пробрасываются через NAT по-сути. Если это внутренняя сеть - все ок. Если внешняя - то у этих портов будет изоляция, они не будут видеть другие подсети с этих портов, в том числе и подсеть wg. То есть проблема изначально в механизме NAT преобразований, который изолирует устройства от других соединений, определенным способом, для безопасности сети.
Чтобы ее туда пустить - нужен NAT, соответственно какой-нибудь DMZ, а DMZ сделает так, что изолирует уже не порт, а целый IP от других сетей. Поэтому в данном случае NAT можно настраивать до посинения, сам механизм NAT не даст такую возможность. На внешнем придется отрубать как раз NAT целиком, что как бы делает одну "большую дыру" и не факт, что даже такой метод заработает.
Единственным адекватным методом для проброски порта наружу из внутренней сети вижу - поднятие прокси. Как это сделать? Вот несколько вариантов.
1. Создать виртуальную машину - на ней, через iptables, настроить DNAT на порты, которые нужны (не забудьте добавить маскарадинг).
2. Установить на отдельном устройстве Fedora Server и Cockpit, включить дополнение Podman, загрузить образ: docker.io/jc21/nginx-proxy-manager:latest, запустить контейнер с этим образом (https://nginxproxymanager.com/guide/#features), открыть дополнительно порты в докер-контейнере, через которые будете прокидывать прокси. В самом приложении, которое запустится использовать раздел stream, который будет проксировать запросы tcp/udp.
3. Установить на отдельном устройстве чистый linux дистрибутив и настроить его в соответствии с п.1
4. Использовать свой ПК, с ПО позволяющее проксировать запросы.
5. Как советовал savizor
ps. Прокси ДОЛЖЕН находится в подсети БЕЛОГО IP. То есть ПО, которое будет куда-то проксировать в локальную сеть должно иметь ту-же подсеть, что и белый IP. Если белый IP находится в подсети 192.168.35.0/24, как в примере автора, то и прокси должен подниматься в этой же подсети и соответственно иметь адрес из этой подсети, например: 192.168.35.15. Если это отдельное устройство, которое используется для прокси (мини-пк, raspberry pi итд), то оно должно быть физически подключено к маршрутизатору у которого белый IP, чтобы физически находится в той же подсети и иметь к ней прямой доступ.
Других вариантов, кроме проксирования, к сожалению, к такой конфигурации сети - нет.