iptables -t nat -I POSTROUTING -o wg0 -j MASQUERADE
A fenti szabály annyit csinál, hogy minden csomag ami a NAT táblából, elhagyja az interface-t lecseréli a src ip-t a wg0 interface IP-jére.
Azaz jön a csomag az 1.1.1.1-es IP ről ezt megkapja a 10.240.69.1 ip, a fogadó látja, hogy az 1.1.1.1 ről jött így elkezdi oda visszaküldeni. Mivel a forrás IP: 10.240.69.1 ami egy nem routeotlt tartomány így a szolgáltató első route pontjánál dobodik a francba. Ezért van a MASQUERADE, hogy ne a nem publikus IP-vel hagyja el a csomag a gépet, hanem azzal amire maszkolják, fenti esetben a wg0 ipjével.
A conntrack meg ott jön a képbe, hogyha több IP van 1 IP mögé maszkolva, akkor tudni kell hogy melyik csomag melyik IP-hez tartozik.