jak funguje překlad jednosměrné ICMP reakce správně na zdroja za NATem

čistě ze zajímavosti , co v conntrack nebo network stacku routerů všech hopů po cestě dělá to, že když nějaký cílový server na odmítnutí TCP spojení (má iptables  -j REJECT) vrátí libovolný ICMP reject , že tento ICMP doputuje správně až ke původcovi za devatero NATy?

Nějak to fungovat musí. Přestože nejde o jeden TCP flow. Jak je to řešeno, co v tom má prsty?
-RELATED
nebo jde o zabudovanou funkcionalitu NATování
-ICMP

zvláštní je taky, že v conntrack nevidím icmp záznam. V conntrack vidím jen icmp pro echo&reply