Por que o aliasing de portas do iptables funciona apenas com uma única regra?

Eu tenho um serviço em execução em uma porta específica, mas para torná-lo acessível através de uma porta mais memorável, além da porta normal, adicionei uma regra iptables que funciona como um alias de porta:

iptables -A PREROUTING -i eth0 -p tcp -m tcp --dport 5555 -j REDIRECT --to-ports [configured port]

Talvez eu tenha sido um pouco ingênuo, mas na verdade comecei adicionando uma segunda regra em POSTROUTING que remapeava a porta de origem TCP para ser a porta com alias no tráfego de saída. No entanto, acontece que eu não precisei dessa regra. Então, minha pergunta é: por que funciona usando apenas uma única regra?

O cliente faz a conexão ao host: alias port. Como não há regra no iptables para remapear a porta de origem do tráfego de saída deste serviço, ele receberia uma resposta do host, mas com uma porta de origem diferente. Isso não causaria problemas de mapeamento de conversas TCP com o cliente? Com isso, o cliente está esperando uma resposta do host: alias port, mas em vez disso (teoricamente) obterá uma resposta do host: real port. E como o tráfego não seria considerado "relacionado", ele nem deveria passar por um NAT ou outro firewall com monitoração de estado - e ainda sim. Existe alguma mágica que acontece no iptables que vê a regra de pré-lançamento de entrada e então ajusta automaticamente o tráfego de saída para esta regra também?