ポートリダイレクト完全ガイド:NAT・DNAT/REDIRECT の仕組みと実装テクニック
エバープレイ編集部ポートリダイレクトとは — 概要と基本概念
ポートリダイレクト(port redirect)とは、受信または送信されるネットワークパケットの宛先ポート(および場合により宛先IPアドレス)を別のポート(またはアドレス)に書き換えて転送する技術を指します。一般的にはNAT(Network Address Translation)やプロキシ、トンネリング、ファイアウォールの機能として実装され、外部からのアクセスを内部サービスに中継したり、ローカルで動くアプリケーションに透過的に通信を渡したりする用途で用いられます。
用途とユースケース
外部公開ポートを内部サーバへ転送(ルータのポートフォワーディング) — 家庭や企業のルータでインターネット側の特定ポートをLAN内のサーバに割り当てる典型例。
サービスのポート変換 — 標準ポート(例:80)を非特権ポート(例:8080)で動かすアプリへリダイレクトし、権限分離を行う場合。
透過型プロキシ/ロードバランサ — 受けた接続を適切なバックエンドへ振り分ける。HAProxyやnginxのstreamモジュール、L4ロードバランサが該当。
SSHのポートフォワーディング — ローカル(-L)、リモート(-R)、ダイナミック(-D)の各モードでポート転送を実現。
デバッグやトンネリング — socatやiptables/nftables、Windowsのnetshで一時的にポートを中継。
技術的な分類:どの層で動くか
ポートリダイレクトはOSI参照モデルのL3/L4(IP/TCP/UDP)レイヤや、L7(アプリケーション層)で実装されます。主な方式は次の通りです。
ネットワーク層・トランスポート層での書き換え:NAT(DNAT/REDIRECT/SNAT)、iptables や nftables の nat テーブルなど。パケットヘッダごと書き換えるため透過性が高い。
透過プロキシ(TPROXY等):クライアントから来た接続をプロキシに渡しながらソースIPを保持して処理する。
アプリケーションプロキシ:HTTPプロキシやTCPプロキシがアプリケーションレベルで接続を終端・再生成する(例:nginx、HAProxy)。L7での制御が可能。
代表的な実装例とコマンド
Linux環境での代表的な実装は iptables の nat テーブル(PREROUTING/OUTPUT)や nftables、systemd/network、socat、SSH、あるいはルータのファームウェア(例:OpenWrt)によるポートフォワーディングです。
iptables の例(ローカルへのリダイレクト):
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080この例は外部から来た TCP:80 をローカルの 8080 にリダイレクトします。kernel の net.ipv4.ip_forward 設定やファイアウォールのポリシーに注意が必要です。
DNAT を用いた外部→内部サーバへのフォワーディング(例):
iptables -t nat -A PREROUTING -p tcp -d 203.0.113.1 --dport 2222 -j DNAT --to-destination 192.168.1.10:22
iptables -t nat -A POSTROUTING -p tcp -d 192.168.1.10 --dport 22 -j MASQUERADEここでは外部IPのポート2222へ来た接続を内部のSSH(22)へ変換しています。SNAT/MASQUERADE により内部からの返信パケットが正しく返るようにします。
Windows の例(netsh):
netsh interface portproxy add v4tov4 listenport=80 listenaddress=0.0.0.0 connectport=8080 connectaddress=127.0.0.1SSH のローカルポートフォワード(例):
ssh -L 8080:internal.example.com:80 user@gateway.example.comiptables の REDIRECT と DNAT の違い
REDIRECT:パケットの宛先IPをループバック(ローカルホスト)に書き換え、ローカルで動くプロセスに渡すために使います。通常は --to-ports でポート指定。
DNAT:パケットの宛先アドレスおよびポートを別ホストへ書き換え、別のマシンへ転送します。ルータで外部ポートをLAN内IPに振るケース。
TCP と UDP の違い、コネクション追跡(conntrack)
TCPはコネクション指向であるため、接続確立(SYN/ACK/FINなど)により状態追跡が行われます。iptables や conntrack はこれを利用して NAT テーブルでのマッピングを管理します。UDPはステートレスに見えるため、短時間のタイムアウトや擬似的な「connection tracking」が用いられます。長時間持続するUDPストリーム(VoIPやゲーム)ではタイムアウトやMTU、NATテーブルのエントリ管理に注意が必要です。
セキュリティと運用上の注意点
不要なポート公開は避ける。ポートを開ける=攻撃の入り口を作ること。
ログと監視を設定する。誰がどこからどのポートにアクセスしているかを記録しておく。
ファイアウォールでIP制限や認証を組み合わせる。VPN越しのみ開放するなど。
ポート衝突に注意。既にサービスがポートを使用している場合は競合が起きる。
IPv6環境ではNATが基本的に不要な設計となるため、ポート転送の考え方が異なる(アクセス制御はファイアウォールに依存)。
透過プロキシと TPROXY の概念
透過プロキシはクライアントを意識させずに通信を代理し、クライアントIPを保持したまま中継処理を行うことが求められる場合があります。この用途で Linux には TPROXY という機能があり、ソースIPを変えずにローカルでプロキシ処理することが可能です。通常の REDIRECT と異なり、より複雑なルーティング設定やソケットオプションが必要になります。
実運用上のトラブルシューティングポイント
sysctl の net.ipv4.ip_forward が有効か確認する。
iptables/nftables のルール順序。NATは PREROUTING/OUTPUT/POSTROUTING の流れを理解する。
ポートが既にサービスに占有されていないか(ss / netstat で確認)。
ルーティングやMASQUERADEの設定漏れによる返りパケットの欠落。
SELinux や Windows ファイアウォールなどOS固有のアクセス制御。
まとめ
ポートリダイレクトは、外部公開、内部サービス分離、透過プロキシやデバッグなど幅広い用途で使われる重要なネットワーク機能です。実装方法はOSや用途により多岐に渡り、iptables/nftables、SSH、プロキシソフト、ルータのGUIなどが選択肢になります。運用時にはセキュリティ、ログ、接続追跡、IPv6との関係性などを踏まえた設計と監視が不可欠です。
参考文献
- Netfilter / iptables プロジェクト公式
- nftables 公式ドキュメント
- RFC 3022 - Traditional IP Network Address Translator (NAT)
- SSH Tunneling(説明と使用例)
- Microsoft: netsh interface portproxy
- OpenWrt: Port forwarding の実装例
- Netfilter / conntrack に関する HOWTO
投稿者プロフィール
