Переадресация портов с сохранением исходного IP-адреса с помощью firewalld

Я зарегистрировался у нового интернет-провайдера, и они не предоставляют мне внешний IPv4-адрес. Я настроил виртуальный сервер (S) (у которого есть адрес), чтобы передавать все мои вещи на мой домашний ящик (B) с использованием туннеля wireguard.

На (S) я настроил:

sysctl -w net.ipv4.ip_forward=1
firewall-cmd --zone=external --add-forward-port=port=<ВНЕШНИЙ ПОРТ>:proto=<ПРОТОКОЛ>:toport=<ВНУТРЕННИЙ ПОРТ>:toaddr=<ВНУТРЕННИЙ IP>
брандмауэр-cmd --zone=external --add-masquerade
firewall-cmd --zone=external --add-port=<ВНЕШНИЙ ПОРТ>/<ПРОТОКОЛ>

ПО (В) я настроил:

firewall-cmd --zone=internal --add-port=<ВНУТРЕННИЙ ПОРТ>/<ПРОТОКОЛ>

Настройка работает достаточно хорошо. Все соединения достигают (B), но исходный адрес (очевидно) замаскирован. Просто удалив маскарад через брандмауэр-cmd --zone=external --remove-masquerade на (S) не работает. Теперь у меня вопрос: как добиться аналогичной настройки с firewalld, которая не маскирует исходные IP-адреса, чтобы я все еще мог анализировать источники на (B)?

Заранее спасибо!