FWセッションテーブルで見る NAT通信の失敗パターン【実務トラブル完全解説】

「NAT設定は正しいはずなのに通信できない」 「FWログは許可されているのに疎通しない」

このようなケースでは、FWのセッションテーブル を見ることで 通信がどこで壊れているか を一発で特定できます。

本記事では、NAT通信トラブルをセッション状態から読み解く方法 を 実務目線で体系的に解説します。

FWセッションテーブルとは何か

FWは通過する通信を セッション（通信の状態） として管理しています。

送信元IP:Port  →  宛先IP:Port
NAT前 / NAT後
TCP状態（SYN_SENT / ESTABLISHED など）

NAT通信が成立しない場合、 セッションテーブルには必ず「異常な状態」が現れます。

NAT通信で見るべき基本項目

• Original（NAT前）IP/Port
• Translated（NAT後）IP/Port
• セッション状態（TCP State）
• 作成時間・最終通信時間

これらを正しく読めるようになると、原因切り分けが劇的に速くなります。

失敗パターン① SYN_SENT のまま止まる

セッション例

TCP SYN_SENT
203.0.113.50:51234 → 192.168.1.10:443

意味

• SYNは送信された
• SYN/ACKが返ってきていない

主な原因

• 内部サーバが待ち受けていない
• サーバ側FWで遮断
• 戻り経路のルーティング不備

対処

• サーバのLISTENポート確認
• 戻り通信がFWを通過しているか確認

失敗パターン② セッションがすぐ消える

症状

• セッションが一瞬で消える
• 再試行しても確立しない

原因

• 非対称ルーティング
• 戻り通信が別FWを通過
• SNAT未設定

解説

FWは 行きと戻りを同一セッションとして認識できない と 通信を破棄します。

失敗パターン③ NAT変換は見えるが通信が進まない

セッション例

Original: 10.0.0.10:52345
Translated: 203.0.113.10:52345
State: INIT

考えられる原因

• Firewallポリシー未許可
• サービス（ポート）不一致
• ポリシー順序ミス

NATは通るがFWで落ちる 典型例です。

失敗パターン④ ESTABLISHED なのに通信できない

症状

• セッションはESTABLISHED
• アプリケーションが動かない

原因

• アプリ層エラー
• MTU不一致
• SSL/TLSエラー

この場合、NAT・FWは正常 と判断できます。

失敗パターン⑤ タイムアウトで切断される

症状

• 一定時間後に通信断
• 再接続で復旧

原因

• FWセッションタイムアウト短すぎ
• 長時間通信アプリ未考慮

対処

• セッションタイムアウト値調整
• アプリ別ポリシー設計

FWベンダー別 セッション確認コマンド例

Cisco系

show conn
show xlate

Palo Alto

show session all filter

FortiGate

diagnose sys session list

実務での切り分け手順（最短ルート）

1. セッションが作成されているか
2. NAT変換が正しいか
3. TCP状態はどこで止まっているか
4. 戻り通信は同一FWか

セッションを見るだけで、8割のNATトラブルは解決できます。

設計・運用で防ぐポイント

• NATとFWポリシーの対応表を作成
• 非対称ルーティングを作らない
• 長時間通信を考慮したタイムアウト設計

まとめ

• NAT通信はセッション状態を見るのが最短
• SYN_SENT / INIT / 消失 は重要なサイン
• FWは「戻り通信」を非常に重視する

FWセッションテーブルは ネットワークトラブルの健康診断書 です。 必ず読む習慣を身につけましょう。