Depende (tm). A Zona WAN (WAN- > LAN no seu exemplo) é sobre o tráfego da WAN para a LAN para "Encaminhar" (conexões estabelecidas), de LAN para WAN para "Saída" e de WAN para LAN (todos os outros pacotes) para "Entrada ".
O mascaramento é aplicado em pacotes de saída de uma interface específica, configurando o endereço de origem desse pacote para o endereço da interface e usando conntrack para salvar o estado, portanto os desenvolvedores optaram por interpretar isso como "pacotes de saída Masquerade WAN = Masquerade no Interface WAN ". É claro que alguém pode argumentar que faria mais sentido habilitar o mascaramento na interface da LAN, já que essa é a rede que está sendo mascarada, então é mais uma questão de perspectiva.