ポートフォワードが動かない原因と確認ポイント【NAT／Firewall／DNAT完全解説】

「外部からサーバに接続できない」 「ポートフォワードを設定したはずなのに通信が来ない」

この手のトラブルは NAT・Firewall・ルーティングのどこか で必ず詰まっています。 本記事では、ポートフォワード（DNAT）が動かない原因 を 実務でそのまま使える切り分け手順 として解説します。

ポートフォワード（DNAT）の通信の流れ

まずは全体像を正しく理解することが重要です。

[Internet]
   ↓ TCP/443
[FW / Router（グローバルIP）]
   ↓ DNAT
[内部サーバ 192.168.1.10:443]

どこか1箇所でも欠けると通信は成立しません。

よくある症状

• 外部から接続するとタイムアウト
• SYNは来るがACKが返らない
• FWログに何も出ない
• 内部からは正常に接続できる

これらは 設定漏れ or 想定外の遮断 を示しています。

① 外部から本当に通信が来ているか

最初にやるべき確認

「設定したつもり」ではなく、実際に通信が来ているか を確認します。

FWでのログ確認

show log
show security flow session

ここで そもそも通信が来ていない 場合、 ISP・上位FW・回線側の問題の可能性があります。

② グローバルIP・宛先IPの確認

典型的なミス

• 別のグローバルIPにアクセスしている
• NAT対象外IPにフォワードしている
• IPv6で接続している

確認ポイント

• アクセス先IPはFWに設定したIPか
• IPv4通信か

IPv6通信はIPv4のポートフォワードでは通りません。

③ DNAT（ポートフォワード）設定の確認

最低限必要な要素

• 宛先IP（グローバルIP）
• 宛先ポート
• 変換後IP（内部サーバ）
• 変換後ポート

設定例（概念）

DNAT
  From: 203.0.113.10:443
  To  : 192.168.1.10:443

ポート番号のズレ は非常に多い原因です。

④ Firewallポリシーの見落とし

重要ポイント

DNAT設定だけでは通信は通りません。 必ずFirewallポリシーが必要 です。

確認すべき項目

• 送信元ゾーン（Internet）
• 宛先ゾーン（Server/LAN）
• 宛先IP（変換後IP）
• サービス（TCP/443など）

「NATは通っているがFWで落ちている」 ケースは非常に多いです。

⑤ 戻り通信（SNAT・非対称ルーティング）

見落とされがちな原因

通信は「行き」と「戻り」が揃って初めて成立します。

• 戻りが別ルートへ出ている
• SNATが設定されていない
• FWがセッションを認識できない

典型症状

• SYNは来るがACKが返らない
• FWセッションがすぐ消える

非対称ルーティング はポートフォワードの天敵です。

⑥ 内部サーバ側の確認

必ず確認すべき点

• サービスが起動しているか
• 正しいポートでLISTENしているか
• OSファイアウォールで遮断されていないか

Linux確認例

ss -lntp
iptables -L -n

NATは正常でも、サーバ側で落ちている ケースも多いです。

⑦ パケットキャプチャでの最終確認

確認ポイント

• FW外側：SYNが来ているか
• FW内側：変換後IPで出ているか
• サーバ：SYNを受信しているか

フィルタ例

tcp.port == 443

どこで止まったか が一発で分かります。

即使える切り分けチェックリスト

1. 外部から通信が来ているか
2. 正しいグローバルIPか
3. DNAT設定は正しいか
4. FWポリシーで許可されているか
5. 戻り通信は対称か
6. 内部サーバは待ち受けているか

設計・運用で防ぐポイント

• NAT・FW・サーバの対応表を作る
• 非対称ルーティングを作らない
• 変更前後で必ず疎通テスト
• FWセッションとログを常に確認

まとめ

• ポートフォワードは「NAT＋FW＋経路」の総合技
• 設定漏れは必ずどこかにある
• 通信の流れを描ければ切り分けは一本道

ポートフォワード障害は 慣れれば10分で原因特定 できます。 通信経路を一段ずつ追う癖を付けましょう。