概要

この記事では、P2P通信の快適性などに大きく影響するところでありつつ、メーカー・プロバイダ側からそれほど積極的に情報が提供されているとは言えないNAT機器の動作について、よくある誤解をいくつか取り上げて解説します。

NAT動作に関する前提知識（cone NAT, symmetric NATあるいはEIM/APDFなどの用語）はNATタイプ、ポートセービングIPマスカレード、UDPホールパンチング、STUN - turgenev’s blogなども参照してください（多少被っている内容もあります）。

Map-e(v6プラス・OCNバーチャルコネクトなど)ではポート開放ができない？

この記事を読む人でここを勘違いしている人はあまりいないと思いますが、まずは初歩的なところから行ってみましょう。Map-eによるIPv4 over IPv6(IPoE)通信ではIPv4のグローバルアドレスが割り当てられますが、他のユーザーと共有されており、自分に割り当てられた一部のポートしか使うことができません。OCNバーチャルコネクトなら1008個、v6プラスなら240個などと、サービスにより違いもあります。

グローバルIPへのNATはあくまでユーザー側で好き勝手に行えるので、この割り当てられた範囲内のポートであればポート開放などは自由に設定することができます。ただしTP-Link製など一部のルーターはMap-eで動かすとポート開放ができないものもあるようです。Map-eは多分国内の独自規格なので国産のルーターを買ったほうが安全な気がします。

また、一部のプロバイダではIPoE IPv6接続とPPPoE接続を同時に使わせてくれるところもあり、これだとPPPoEの方でポート開放ができます（ただし速度が遅くなるかもしれない）。これに関しては自分の過去記事のフレッツ光関連の設定について（ドコモ光、ひかり電話、IPoE/IPv4 over IPv6とPPPoEの併用など） - turgenev’s blogやIPoE/PPPoE併用時（など）に一つの端末から同時に複数の接続経路を利用する - turgenev’s blogを含めて多くの情報があると思います。

あと、IPv6に関してはそもそもNATがないのでファイアウォールに穴をあければ自由にポート開放（と呼ぶのが正しいかわかりませんがそれと同等のこと）ができます。

DS-Lite(transix・クロスパスなど)ではポート開放ができない？

まあこれは基本的には正しいです。DS-Liteではプロバイダ側でNATが行われるため、グローバルIPに来た通信の扱いには手が出せません。

ただし、DS-LiteのNATはキャリア回線などと同じくフルコーンNATで、これはUDPだけでなくTCPもです。つまり、内側のTCPポートからインターネット側に何らかのパケットを送信してグローバルIP上のポートが割り当てられたとすると、その割り当てが有効な間はこのグローバルIP上のポートは任意の場所からの通信を受け入れて内側に通すようになります。つまり一時的にポートが開放された状態になるということです。

ということは、適当なホストにむけて一定間隔でkeepaliveパケットみたいなのを送っておけばそのTCPポートはいつまでも開放されるということになります。Natterやnatmapはこれをやってくれるようです。

TCPではなくUDPに関して言えば、まさにこれと同じことをやるのがUDPホールパンチングです。ポート開放の目的がVPNであれば、UDPホールパンチングをやってくれるVPNソフトウェア（tailscaleとかzerotierとかSoftEtherとかhamachiとか）を使うことで、ポート開放と同等の（リレーサーバーを介しない）VPN通信環境が実現できます。Tailscaleであれば他ユーザーにデバイスをシェアする機能もあるので友人同士などであればこれを使って（ポート開放が必要な）ゲームのマルチプレイをすることもできます。

まあとはいえ普通にポート開放ができたほうが何かと嬉しいので、（この記事でこのあと説明する色々な要素を加味した上で）自分だったらMap-eを選ぶと思います。

ポートセービングIPマスカレードとSymmetric NATは同じ意味？

違います。これはNATタイプ、ポートセービングIPマスカレード、UDPホールパンチング、STUN - turgenev’s blogのAddress Dependent Mappingあたりの説明をちゃんと読めばわかると思うのですが、ポートセービングIPマスカレード（ポートの共有）が行われることとSymmetric NATであることは基本的には完全に独立です。「ポートの共有を行わないSymmetric NAT」も「ポートの共有を許容し、結果として同じ内側(Address, Port)から複数の異なる宛先への通信に同じポートが使われる可能性があるNAT」も何の矛盾もなく可能です。

唯一、確実に言えることは、「ポートの共有が行われるならEndpoint Independent Mapping（cone NAT）ではない」ということです。EIMではないからといってSymmetric NATであるとは限らないというだけの話です。

ただ、ポートの共有を行わないSymmetric NATではEIMよりもかなり多くのポートを消費してしまうので、「Symmetric NATならばポートの共有を行う実装が多い」というのは傾向としては正しいのかもしれません。これに関しては色々なSymmetric NAT実装を見てみないとわかりません。

v6プラスとかはポートが少ないからポートセービングIPマスカレードを搭載しているYAMAHAとかNECのルーターを買うべき？

これも間違いです。Linuxのnetfilterのconnection trackingとNAT動作の仕組み - turgenev’s blogでも解説していますが、多くの安物のルーターに搭載されていると思われるLinux（netfilter）のNAT機能はデフォルトでポートセービングIPマスカレードを行います。TCP・UDP両方で有効です。家にあるBuffaloとNEC(Aterm)の最安価格帯の機種でも、NTT製のHGWでもそうでした。CentOSでOCNバーチャルコネクト | QuintRokkこのへんでも問題なくポートが使いまわされていることが確認できます。

もちろん他の性能面で差はあれど、少なくともポートの枯渇を避けるためという理由で高級品を買う必要はありません。

念のためですがポートセービングIPマスカレードが搭載されていればv6プラスの240ポートであっても困ることはまずありません。

EIM/ADF（アドレス制限コーンNAT）はNATタイプBになる？

間違いです。Nintendo Switchでは「NATタイプ」をA-Dの4段階で判定でき、EIM/EIF（フルコーン）ならA、EIM/APDF（ポート制限コーン）ならBになるのですが、両者の間にあたるEIM/ADF（アドレス制限コーン）についてはフルコーンと同じくNATタイプAになります。よく読まれているイカスミカフェの「NAT」「NAT越え」「NATタイプ」ってなーに？や、スプラトゥーン2とNATの奥深い関係（2ページ目） | 日経クロステック（xTECH）などでは間違って記述されているため注意が必要です。おそらく、EIM/ADFの実機がほとんどなくてテストしていないのでしょう。Nintendo Switch の「NATタイプ」判定条件 #Network - Qiitaは正しいです。

実際、UDPホールパンチングの成立条件の表を見ていると、EIM/ADFではEIM/EIFと同じく任意の相手とP2Pが成立するので、タイプAと判定されるのは妥当です（厳密には毎回違うアドレスが割り当てられるような変なNATが相手だったら通信は成立しにくくなりますが、そんなものは普通はありません）。

またEIFと違ってADFは既知のアドレスとの通信しか通さないのでセキュリティ的にもベターです。逆にEIM/EIF以外のNATタイプは、既知のアドレスからの通信しか内側に通さず、かつ既知のアドレスからの通信であれば（相手が適切なポートを使用すれば）内側に通ってしまうという点ですべて同じです（TCPのConnection Dependent Filteringなどは除く）。そう考えるとEIM/ADFは妥協点として一番良さそうな気がします。

ただ、実装が不十分（EIM/ADFを想定していない）だとEIM/ADFとSymmetricの間でのUDPホールパンチングが成立しない可能性も否定はできず、そこは実装ごとに調べるしかないです。

実機を触る機会がなくてPS4/PS5やXBoxでの判定がわからないので、だれか試せた人がいればコメントで教えてください。

DMZするとフルコーンNATになってNATタイプがAとか1になる？

現象としては大体そうですが厳密には違います。

DMZホスト機能とは、（ほとんど）全てのルーターのポートを番号を変えずに特定IPに転送する機能で、言い換えれば特定のIPの全ポートを開放することになります。基本的には直接インターネットに接続されたような格好になりフィルタリングの類もなくなるのでNATタイプはA（あるいはタイプ1、オープン）になることが多いでしょう。任天堂のページでも公式に案内されています。また英語圏でもiptablesでfull cone NATを作る方法などとして紹介されているのを見かけます。

ただ、少なくともnetfilterの挙動に関して言えば、絶対に固定で内側ポートと同じ番号が割り当てられるというわけではなく、他のIPと競合すれば意図したポートが割り当てられない（結果としてEIMにならない）可能性はあります。まあこれは確率的には低いのでUDPホールパンチングが成立しにくくなる心配をする必要はありません。

あとは一応、内側からの通信では全然別のポートが割り当てられる（DNATが固定なだけでSNATはランダム、とか）という動作の可能性もあり、これだとSTUNとかを使おうとするとうまくいかなくなる気がします（外部からの接続を受け入れるだけなら問題ない）。そんな実装はあまりないのかもしれませんが。

それと、DMZホストでは全てのポートが常時開放されています。EIM/EIFはあくまでマッピングが存在する間だけ「一時的にポートが開放される」動作です。ゲーム機に使うなら気にする必要はなさそうですが一応セキュリティ的にはEIM/EIFのほうが少しだけマシです。

余談ですが、DMZホスト的なことをするにしても1-1023の特権ポートを開放するのは危険なので1024-65535（あるいは可能なら32768-65535などエフェメラルポートの範囲のみ）にしておいた方が無難です（40000-65535で十分だったという情報があります）。一時期、任天堂でも間違って案内されていたようです。

これも余談ですがこの「DMZホスト機能」がある時点でそのルーターには何らかの形でポートセービングIPマスカレードが備わっていることが明らかです。さもなければ、全ポートが特定のIPに転送されている状態で別の端末がインターネット通信できるはずがありません。

あとこれも余談ですが、この「DMZホスト機能」というのは、原義の「DMZ」とは全く別物です（参考:ブロードバンドルータのDMZホスト機能 、2台のルータでDMZを用いたネットワークを構築し安全に自宅サーバを公開する | 積水成淵日記、natテーブルを利用したLinuxルータの作成：習うより慣れろ！ iptablesテンプレート集（2）（6/6 ページ） - ＠ITなど）。

DS-LiteはEIMなのにポートが1024しかないから枯渇すると詰む？

EIMということは家の中の機器が何かポートを使用するごとに1024個のうち1つが消費されるので、まあまあ人数が多かったりすると実際わりと枯渇するようです。それでNATもキャリア側でやってるから手が出せなくて詰み、という主張です。

まあ普通に使っているだけならそうなりますが、むこうのNATが機能不足ならこちらで勝手にポートセービングIPマスカレードをして出口を絞ってやれば解決します。つまり適当なLinuxマシンとかYAMAHA/NECみたいなルーターを用意して、家の全部の機器をその配下にして、出口ポート数を1024に絞ってNATして、それからDS-Liteルーターに食わせれば、そもそも出口が1024個なのでキャリア側では絶対に枯渇しないというわけです。

ちなみに出口を絞ってNATするのは単に使うポートを少なくするだけなので潜在的には安物ルーターでも全然できるはずなんですが、残念ながらこれを自由に設定させてくれるような安物ルーターは無さそうです。もしあったらそれを使うといいと思います。

あとそもそもDS-LiteってプライベートIPがついたLAN内のパケットをそのままIPv6にラップして家の外に出してるので、NATしておいた方がセキュリティ的にも安心感はあるかもしれません。

ただしこれだとDS-LiteのEIM/EIFの旨味がなくなってしまうので、必要に応じて一部の通信（VPNのポートとかNintendo Switchとか）は直接DS-Liteルーターの配下につないでおくのがよさそうです。その場合ポートセービング担当のルーターのほうは500ポートだとかもうちょい絞っておいてもよさそうです。

Map-eはDMZができないからNATタイプAとか1にするのは無理？

v6プラスとかOCNバーチャルコネクトは使えるポートが制限されているからDMZが使えなくてNATタイプAにするのは絶対無理、だからフルコーンNATなDS-Liteを使うべき（あるいはPPPoEパススルーしろ）、といった感じの主張です。

これは間違いです。あくまで市販ルーターの実装がフルコーン/制限コーンNATでないというだけで、出口ポートの数が制限されていてもフルコーン/制限コーンNATはできますし、そうすればちゃんとNATタイプAになります。DMZはフルコーンNATにするための一つの方法であり、必要条件ではありません。ただしこれもやっぱりLinuxかYAMAHAルーターかNECの高いルーターか、そのあたりが必要です。

Linuxでフルコーン/制限コーンNATを動かす方法についてはLinuxでポートセービングIPマスカレード付きの制限コーン風NAT（EIM/ADF）を動かす - turgenev’s blogを参照してください。YAMAHAとかNECでは、ポートセービングIPマスカレードを設定で無効にするとフルコーンNATになるはずです。

TCPはホールパンチングには基本使わないしフルコーンにすると枯渇のおそれがあるので、P2P通信（ゲーム機など）のUDP通信だけフルコーンにするのがいいと思います（NETルーターでの設定例: https://twitter.com/xpzr4/status/1527318238400757761）。

とはいえ初心者にはかなり設定が難しいと思うので、ネットワークに自信がなくて家族の人数が少なくてサーバー公開も必要なくて対戦ゲームが快適にできることは重要という場合はDS-Liteを選ぶのがいいかもしれません。

RFC 4787のNAT分類ではMappingがEIM/ADM/APDM、FilteringがEIF/ADF/APDFで、3x3=9種類ある？

これどこにもちゃんと書いてないけど多分嘘だと思うんですよね…詳しくはNATタイプ、ポートセービングIPマスカレード、UDPホールパンチング、STUN - turgenev’s blogを見てくださいという感じなのですが、例えばマッピングがAPDMなのにフィルタリングはEIFって、少なくともポート共有が有効な場合はどう考えてもありえません（マッピングに存在しない宛先から通信が来たとして、一体どの内側ポートに転送すればいいのか？）。要するにFilteringよりもMappingのほうが細かいのはありえないということです。

結局、EIMならEIF/ADF/APDF、ADMならADF/APDF、APDMならAPDF、という計6種類になると思います。念のためですがnetfilter搭載の多くのルーターはこのどれにも入りません。

RFC 3489の分類はガバガバだ！とRFC 4787は言っていますが、結局大して分ける必要なかったんじゃん？という…

二重ルーターだとSymmetric NATになる？

これもNATタイプ、ポートセービングIPマスカレード、UDPホールパンチング、STUN - turgenev’s blogに書きましたが、間違いです。複数あったら最も厳しいポリシーに揃えられるというだけで、EIM/EIFを10個つなげたところで全体はEIM/EIFのままです。

二重ルーターが問題になるとよく言われているのはおそらくUPnPの関係だと思います。UPnPは自分を直接管轄している一つ外側のルーターに対してポートの開放を要求するものであり、それがグローバルIP上のポートじゃなかったらうまくいかないという話です。一応、UPnPブリッジとかいう機能があれば二重ルーターでもちゃんとUPnPできるという話もあるようです。

UPnP自体はセキュリティ的に怪しいらしいので基本的には無効にして、NAT動作を工夫するのとあとは静的ポート開放をちゃんとやるのが良いと思います。

TCPでホールパンチングするのは無理？

これもNATタイプ(ryに書いたものですが、NATタイプが同じであれば、UDPホールパンチングとTCPホールパンチングの難易度は変わりません。

しかし実際には、TCPに関しては、既知の相手であっても外側からの通信は受け入れないというRFC 4787でいうところのConnection Dependent Filteringの動作をするNATが多く（netfilterがそうなっている）、こうなるとホールパンチングは困難になります。

UDPホールパンチングのためにはNATはEIMでなければいけないのでポートセービングIPマスカレードは不可能？

ここまでちゃんと読めていればわかると思いますが、NATが「ほとんどの場合にEIMのように振る舞う」ためには、必ずしもNATが「厳密にEIMの定義に従っている」必要はありません。

さらに、NATタイプ(ryに書いた通り、宛先アドレスが異なる場合のみに限ってポートセービングIPマスカレードを認める場合は、フィルタリングをADFにすることができます。つまり、以下のようにすれば、EIM/ADF「的」な動作とポートセービングIPマスカレードを両立できます。

• 通信相手のアドレスのみに関するマッピングを使用する。（ポート番号は含めない）
•  
• 内側のポートがインターネットの新規の相手と通信しようとした際、その内側のポートに（別の相手との通信のために）直近で割り当てられたものと同じポートを原則として割り当てる。（＝EIM的な動作）
  • （その内側のポートの使用履歴が無ければ、内側のポートと同じ番号、あるいはそれが利用不可ならランダムな番号を割り当てる）
• ただし、そのポートを通ってその相手（のアドレス）と通信している他の内側ポートがすでに存在して競合する場合は、別のランダムなポートを割り当てる
  • そのポートを通って他の相手と通信している内側ポートが存在する分には競合しないのでそのまま割り当てる（＝ポートセービングIPマスカレード）
• マッピングに一致する外側からの通信はすべて内側に通す（既知のアドレスなら、未知のポートからの通信でも通る）

こうすれば、近接したタイミングで同じポートから2つの相手と通信した際には同じポートが割り当てられることが期待され（EIM）、既知のアドレスからの通信はすべて内側に通り（ADF）、かつアドレスが異なる場合はポートセービングIPマスカレードができます。

一般には同じアドレスの異なるポートに大量のコネクションを張ることはあまりない（だいたい53, 80, 443とかしか使わない）ので、ポートも条件に入れたポートセービングIPマスカレードとほぼ同等の効果が得られるはずです。

というわけでこれをLinuxで実際に動かしたという記事がLinuxでポートセービングIPマスカレード付きの制限コーン風NAT（EIM/ADF）を動かす - turgenev’s blogです。実際、手元でもホールパンチングとポートセービングIPマスカレードが両立することを確認しています。

まとめ

思った以上にいろいろな種類の誤解があることがわかります。NAT動作は原理としては単純な話ばかりなので、適当な情報を鵜呑みにせずにちゃんと整理して考えてみるのが大事だと感じます。

元をたどれば、RFC 3489やRFC 4787が網羅的でない雑な分類を提示したために、UDPホールパンチングやポートセービングIPマスカレードという実際の使い勝手に影響を与える部分に関して深く考察されることがないままCone NAT/Symmetric NATという二元論が広まってしまったことが要因にあるでしょう。実は、draft-naito-nat-port-overlapping-01という文書がこの記事で書いたような事実に触れているのですが、残念ながらこれが正式なRFCに反映されることはなかったようです。

時代はIPv6へと移行してきており、IPv4でのNATに脚光が当たることはもはやないのかもしれませんが、少しでもNATに関する正しい理解が広まることを願っています。

質問などあればお気軽にどうぞ。

概要

Linuxのファイアウォール（パケットフィルタ）は、内部的にはLinuxカーネルのnetfilterという機能が担っています。iptablesやnftablesはnetfilterを操作するフロントエンドで、ufwはiptablesやnftableを操作するさらに上位のフロントエンドです。また、筆者は使ったことがありませんがfirewalldというのもufwと同じくiptablesやnftablesを操作する上位のフロントエンドのようです。

Linuxでファイアウォールを運用するにあたってこのどれを使うべきかが問題になると思うのですが、うまくいいとこどりをして良い感じに運用できそうな方法を見つけたので紹介します。なお、主に個人でのサーバー運営程度を想定しており、業務で使うような大規模システムだったらもっとちゃんとしたやり方が必要かと思います。

iptablesとnftablesの基本

この2つの違いとしては、簡単にいうとnftablesはiptablesの後継で、nftablesが本格的に導入されているUbuntu 22.04などではiptablesコマンドもnftablesを操作するフロントエンドとして動作するようになっています。

iptablesはiptablesコマンド、nftablesはnftコマンドを使用します。（処理の共通化など細かい使用感を除けば）パケット処理に関してできることは大体同じですが、構文の見た目は結構違います。nftables自体はそこまで最近導入されたものではないと思うのですが、依然としてiptablesコマンドがほぼ変わらない動作で使用可能なこともあってか、使い方に関する情報が比較的少ない印象です。

例えば以下が参考になります。

• nftables備忘録 #ファイアウォール - Qiita わかりやすい
• Linuxにおける新たなパケットフィルタリングツール「nftables」入門 | さくらのナレッジ 少し長いが、丁寧な解説記事
• Man page of NFT 英語のmanページ。困ったら最終的にはここを見よう

nftablesのテーブル

nftablesとiptablesの（特にこの記事において）重要な違いは、ユーザーが独自のテーブルを作成できるということです。

iptablesではnatやmangleのように役割ごとに決まった名前のテーブルを使う必要がありました。一方でnftablesではテーブルは好きな名前で作成し、その中のチェインにおいてnatやmangleなどのタイプを指定するやり方に変わりました。

nftables環境でiptablesコマンドを使用した際には、natやmangleといった従来の固定的なテーブル名に由来するテーブルだけが読み書きされます。つまり、iptablesコマンドを使って独自のテーブルの内容を管理することはできず、nftコマンドを使う必要があります。ufwは（nftables環境でも）依然としてiptablesで動いていますが、firewalldはnftablesを使って独自テーブルを管理しているので、nftを使わないと見られないということに注意が必要です。

nftablesのルールの管理

nftablesでは、nftコマンドを用いてルールをいちいち追加・削除してもいいですが、設定ファイルを用いてルールを管理することもできます。

nftablesというサービスがあって、これを有効化（sudo systemctl enable nftables）すると、/etc/nftables.confというファイル（ディストリビューションによって異なる可能性あり）を起動時に読み込んでくれます（デーモンではなくOneShotタイプ）。

設定ファイルの読み込みの際にはnft -f xxx.confとfオプションを使用します。nftablesが動くのは起動時だけなので、起動後であればルールを反映させたいタイミングでこのコマンドを実行します。

設定ファイルでは、以下のように最初でflush rulesetとして既存のルールを全て削除してから新たにルールを追加していく方法がよく使われます。

#!/usr/sbin/nft -f

flush ruleset

table inet filter {
   ......（省略）
}

そのまま追加するとnft -fでの読み込みのたびにルールが複製されてしまいますが、flushを使用するとこれを防げます。

flush rulesetの問題点

しかし、このflush rulesetには問題があり、文字通り全ての設定を消去してしまうので、ufwやfirewalldやその他VPNなど（例: tailscale）が追加したルールまで全て消えてしまうのです。実際、ufw稼働中にnft -f xxx.confと（ufw関連のルールがない）confファイルを読み込むと、ufwは勝手にdisabledの状態になってしまいます。tailscaleも、うまく通信が通らない状態になってしまいます。

全てをnftablesのファイルで管理するようにすればこの問題はなくなりますが、ufwの簡潔なコマンドの恩恵を受けられなくなり、tailscaleは二重管理のような状態にならざるを得ません。

• nftablesによるファイアウォール設定 - ビットハイブ ここにも書いてある

table単位でのflush

そこで、この記事で解決策として提案したいのが、tableの単位でルールを管理してflushを行うことです。

ntfablesでは、flush rulesetのように全てを消去するのではなく、flush table ip my_ip_tableのようにテーブルを指定してその中のルールを全て消去するということが可能です。これならmy_ip_tableの外側にあるルールとは一切干渉しません。

具体的には、以下のような記述を基本単位としてルールを管理するのが良さそうです。

table ip my_ip_table {
}
flush table ip my_ip_table
table ip my_ip_table {
    ......（独自のチェイン・ルール）
}

このようにすれば、ファイルを読み込み時にmy_ip_tableの内容だけファイルに書かれた内容に変更できます。flushの前に最初で一旦空のmy_ip_tableを作成しているのは、my_ip_tableが存在しない状態だとflushコマンドが失敗してしまうからです。（既存のテーブルを改めて作成するのはエラーにはなりません）

なお、前述のようにnatやmangleなどの役割に応じてテーブルを分ける必要はありませんが、arpとipのテーブルなどは別々に書く必要があるので、その個数の分だけ上記の基本単位を書くことになります。

この内容をどこに書けばいいかというと、もちろん既存の/etc/nftables.confに書いてもいいですが、/etc/nftablesにはflush ruleset文を始めとしてちょっとした内容が書いてあるのでそれを変えたくないという場合は、

include "/etc/nftables.custom.conf"

のように独自のファイルをインクルードしておいて、そのcustomファイルのほうに上記の基本単位を記述していく（ルールの更新の際はcustomのほうだけをnft -fで読み込む）という方法も考えられます。

nftables.custom.confに誤りがあると、起動時にnftablesサービス自体が失敗し、ufwなども連鎖的にうまく起動できなくなってしまうので注意してください。（セキュリティ的に必須でない内容は事後的に読み込むのもアリかも？）

ufw/iptablesとの使い分け

これで、ufwやVPNの動作を阻害することなく任意のタイミングで独自ルールを適用できるようになりました。

ufwは、ポートやインターフェイスなど条件を指定して許可/不許可の設定をする分には見通しがよく便利で、gufwというGUIツールまであるのですが、NATなどの（必ずしも「ファイアウォール」とあまり関係のない）機能を扱おうとすると設定ファイルの編集が必要になります。

そこで、ファイアウォール的な部分だけはufwで管理して、NATなどの細かい設定は前述の独自のユーザーテーブルを用いて管理するという使い分け方がいいのではないかと思います。ufwとnftablesのどちらか一方だけを選ぶ必要はありません。

ところで、結局nftablesとufwの使い分けの話ばっかりしてしまいましたが、（nftables環境の）iptablesにも使い道はあります。

nftコマンドの大きな欠点として、追加したルールの削除が非常に面倒というのがあります。追加のしかたは大体iptablesと同じなのですが、削除はルールの内容を指定して検索することはできず、ルールの番号（handle）を取得してそれを指定して削除しなければいけません。

iptablesであれば、追加の際の-A（または-I）を-Dに変えるだけで対応するルールを見つけ出して削除してくれます。構文の見やすさ、ネット上の情報の多さなどからいっても、動作テスト時にルール単位で追加・削除をする分にはiptablesコマンドのほうが圧倒的に便利です。

従って、試験的なルールの追加・削除はiptablesで行い、確定したらそのルールをnft list rulesetで表示してnftablesでの書き方を学び、それを先ほどのnftables.custom.confに転記し、iptablesで設定したものは削除する、といった使い方をすると結構やりやすいです。

nftables未導入環境やfirewalldでの方法

この記事ではnftables環境を前提にしていましたが、iptables環境でも似たようなことはできます。

iptablesでは残念ながら独自のテーブルまでは作れませんが、独自のチェインは作れて、またチェイン単位でのflushもできます。また、iptables-restoreを使えばアトミックにルールを置き換えてくれます。従って、まず自分用のチェインをそれぞれのテーブルに登録しておいてから、好きなタイミングでチェイン内のflushとルール追加を行うことができます。（空行がないとエラーになったりするので気をつけてください: firewall - Error applying iptables rules using iptables-restore - Server Fault）

ただしiptables-restoreのファイル内でincludeを行うことができないのと、チェインの追加・削除はそれぞれチェインが存在しない状態・する状態で実行しないとiptables-restore全体の実行が失敗する（何も起こらない）のでさっきのnftでのmy_ip_tableの追加のような「既に存在するならそのまま、存在しないなら作成」ができません。

従って、起動時に一度のみ実行されるファイルと起動後の任意のタイミングで実行するファイルに分けて、独自チェインを追加する部分は前者、チェイン内を編集する部分は後者に書いておく必要があります。多分。

あと、具体的には触れませんが、firewalldについてもufw同様にiptables/nftablesとの使い分けができます。

アトミックなルールの置き換え

この記事ではルールを一旦削除して追加するということを行っていますが、このときに、削除されている一瞬の間にパケットが侵入してこないか？ということが不安になるかと思います。

実際には、nftablesやiptablesでは、ルールの変更をアトミック（原子的）に実行することができます。簡単にいえば、全ての変更が一気に適用されるという意味で、設定ファイルなどを読み込んだ際に「既存のルールがある状態」か「既存のルールがなくなって新規ルールが導入された状態」のどちらか一方でのみパケットを処理するため、隙が生じないということです。

nft -fでの読み込みや、iptablesならiptables-restoreというコマンドがこのアトミックな動作をします。

概要

この記事では、NAT（NAPT）を行う機器の動作タイプの分類、およびそれと密接に関連する話題として、ポートの枯渇を防止するためのいわゆる「ポートセービングIPマスカレード」の手法とUDPホールパンチングについて解説します。

NAT(NAPT)（あるいはIPマスカレード）の概念については、ここでは基礎的な解説はしないので他サイト等を参考にしてください。基本的には、「ルーターだけがインターネットと直接接続し、ルーターの内側にある各機器を代表して通信を行う」「そのためには内側の各機器のアドレス/ポートとルーター自身のアドレス/ポートとの間で書き換えが必要」というイメージがあれば問題ありません。

この記事で扱うようなNATの動作は基本的にポートに関連するものであり、ポートを使用するプロトコル（TCPやUDP）以外にはあまり影響はありません。

• 当初、Linuxのnetfilterの動作やDMZ設定、DS-LiteやMap-eの話なども書いていたのですが、量が増えすぎたため、netfilterに関してはLinuxのnetfilterのconnection trackingとNAT動作の仕組み - turgenev’s blog、その他いろいろな内容はNAT動作をめぐる誤解まとめ - turgenev’s blogへと（大幅加筆のうえ）移動しました。タイトルも変更しました。

RFC 4787による分類

NATタイプの分類にはいくつかの方式がありますが、この記事では現代の標準的な分類方法を示しているRFC 4787という文書に従います。

RFC 4787では、NAT機器の動作における「Mapping」「Filtering」という要素がそれぞれ「Endpoint Independent」「Address Dependent」「Address and Port Dependent」のどれに分類されるか、という基準でNAT機器を分類します。基本的にはMappingのほうが重要で、Mappingがどれであるかによって大きく3種類、その中でFilteringによる違いもある、という感じになります。

まずはMappingについて見ていきます。

Endpoint Independent Mapping

例えば、ルーターの内側に192.168.1.1と192.168.1.2という2台のPCがあって、ルーターのグローバルIPは1.1.1.1としましょう。これらのPCの様々なポート、つまり192.168.1.1:40000とか192.168.1.2:50000とかからインターネットの様々なサイト（google.comとかyahoo.comとか）との間で通信が行われる状況をイメージしてください。

このとき、「NATの内側の機器の(Address, Port)の組」によってのみルーターの使用ポートを変化させるというのがEndpoint IndependentなMappingです。Endpointとはインターネット側の通信相手（行き先）のことです。つまり、LAN側が192.168.1.1:40000であれば、相手がgoogle.comだろうとyahoo.comだろうと関係なく常に1.1.1.1:44444を使用する、というような動作をするのがEndpoint Independent Mappingです。

逆に、LAN側が192.168.1.1:50000とか192.168.1.2:40000とかであれば、それぞれまた別のポート（たとえばそれぞれ44445番と44446番とか）を使用することになります。なぜなら、例えば192.168.1.1:40000と192.168.1.1:50000にどちらも44444番を割り当ててしまうと、例えばgoogle.comから1.1.1.1:44444に何らかの通信（内側からの通信への応答含む）が来たとなった場合に192.168.1.1:40000と192.168.1.1:50000のどちらに転送すればいいかわからないからです。外側から内側への通信の転送先が一意に定まるためには何が必要かを考えるのは以降でも重要なポイントです（外側のアドレスはNATによる書き換えが起こらないので気にする必要はありません）。というわけで結局、Endpoint Independent Mappingでは「NATの内側の機器の(Address, Port)の組」とルーターの使用ポートが（多対一ではなく）一対一に対応するということになります。

"Endpoint Independent Mapping"だと長いので、"EIM"のように略されることもあります。これは他のものについても同じです（APDF=Address and Port Dependent Filteringなど）。EIM-NATやEIM NATなどと呼ぶこともあります。このような呼び方は英語圏でも通じるようです。

RFC 4787より古いRFC 3489という文書では、EIM NATのことをcone NATと呼んでおり、この呼び方も（RFC 4787では非推奨とされているものの）現在でも広く使われています。coneというのは円錐という意味で（トウモロコシ=cornではない）、ルーターの一つのポートから全てのEndpointへと放射状にルートが伸びている様子を円錐に見立てたものです。

Address Dependent Mapping

ADMでは、ルーターのポートを変える基準に「EndpointのAddress」が加わります。つまり、「NATの内側の機器の(Address, Port)の組」および相手のアドレスによってルーターの使用ポートを変化させる、ということです。例えば、192.168.1.1:40000とgoogle.comの間での通信には（google.comのポートが何であっても）44444番を使用するが、192.168.1.1:40000とyahoo.comの間での通信には別のポート、例えば44445番を使用する、といった形になります。

これについても先ほどと同様に外側から内側への転送先が一意に定まるための条件を考えてみます。ADMではEIMと違って「ルーターの各ポートに関して、内側のそれぞれの(Address, Port)がどの相手と通信するためにそれを使用しているのかを特定できる」という特徴があります。つまりは「外側アドレスが異なっていれば、内側にある複数の(Address, Port)がルーターのポートを共有しても問題はない」ということになります。若干わかりづらいですが、ここは後述の「ポートセービングIPマスカレード」を理解するにあたって重要な部分です。

例えば、192.168.1.1:40000がgoogle.comと通信するために1.1.1.1:44444を割り当てたとしたら、44444番を経由して192.168.1.1:40000と通信している相手はgoogle.comだけです。だったら、この44444番ポートを「192.168.1.1:50000とyahoo.comの通信」にも使う、となったとしても、google.comから44444番に来た通信は192.168.1.1:40000、yahoo.comから44444番に来た通信は192.168.1.1:50000、という風に一意に転送先を決めることができます。

というか、「転送先が一意に定まるか」を基準に考えると、「内側の(Address Port)が同じでも行き先のアドレスが違えば割り当てポートも変える」という条件は別に必要ではなく、「そのポートを使って同じ行き先と通信している他の(Address, Port)がまだ存在しないようなポートを使用する」というルールだけあればいいはずです。つまり、ポートごとに、「そのポートを使用する【内側機器の(Address, Port)、行き先のAddress】の組のリスト」を持っておいて、そのリスト内で「行き先のAddress」が一意になるようにしておけば、転送先は一意に定まるはずです。例えば、44444番ポートに関して、「192.168.1.1:40000とgoogle.comとの通信」「192.168.1.1:50000とyahoo.comとの通信」「192.168.1.1:40000とmicrosoft.comとの通信」に使用する、というようなリストがあったとすれば、「192.168.1.1:40000」がgoogle.comとの通信にもyahoo.comとの通信にも44444番が使用されることになりますが、行き先アドレスには重複がないので外側からの通信を一意に転送できます。このやり方はEIMでもADMでも（もちろんAPDMでも）ありません。（ただ、ADMの定義に当てはまらないというだけで、「内側ポートと行き先アドレスに従ったマッピングでNATが管理されている」ということは言えます）

念のためですが、RFC 4787には、「（内側の(Address, Port)と）行き先アドレスが同じ場合に、またそのときに限り、同じポートを使用する」ということがはっきり書いてあります。しかし実際には、この「そのときに限り」は「転送先を一意に定める」ためには必要でもなければ（上記の通り）十分でもない（そもそも内側の(Address, Port)が異なる場合への言及がないから）、ということになります。

ちなみに、ADMの動作をする機器は現実にはあまりないようです。

Address and Port Dependent Mapping

最後に、Address and Port DependentなMappingでは、ポートを変える基準としてEndpointのAddressだけではなくPortも使用します。つまり、192.168.1.1:40000とgoogle.com:80の間での通信には44444番を使用するが、192.168.1.1:40000とgoogle.com:8080の間での通信には44445番を使用する、といった形になります。これについても先ほどと同様に、「行き先アドレスとポート（の組）が異なっていれば、内側にある複数の(Address, Port)がルーターのポートを共有しても問題はない」ということになります。例えば、「192.168.1.1:40000からgoogle.com:80への通信」と「192.168.1.1:50000からgoogle.com:8080への通信」にどちらも44444番を使用したとしても、80番と8080番のどちらから来たかによって40000と50000を決めることができるということです。通信経路を一意に決められるかだけを考えるなら別に行き先が違うからといって別のポートを使う必要は無いというのも先ほどと同じです。

APDM NATは、RFC 3489ではSymmetric NATと呼ばれていました。実はADM NATもSymmetric NATに含まれるようですが、現実に例が少ないようなので気にしなくていいでしょう。

この"symmetric"（対称的）というのは、おそらくルーターのポートを中心として内側と外側が対称に見えるかということだと思います。つまり、cone NATではルーターの1つのポートが内側に関しては1つのポートだけ、外側に関しては全ての通信先とつながっている状態でしたが、symmetric NATでは、内側のポート1つにつき1つ（つまり同数）の通信先とつながっている状態になります。

Connection Dependent Mapping

ポートを使用する主なプロトコルはUDPとTCPですが、接続の概念が無く生のIP通信に近いUDPに比べると、TCPでは接続の開始・終了の手続きが明確に定まっているので、これに基づいたMappingを考えることもできます。TCPに関するNATの挙動について記述されているRFC 5382 - NAT Behavioral Requirements for TCP 日本語訳によれば、同じ内側(Address, Port)からの発信であっても、新規の接続であれば別の外側ポートを割り当てるNATがあり、これをConnection Dependent Mappingと呼ぶようです。

これはSymmetric NATよりもさらに細かいMappingということになりますが、現実的にはSymmetric NATとしてまとめて扱っておけば問題ないでしょう。

Filteringの違い - EIM NATの場合

次にFilteringについて説明します。

例として、EIM NATの場合について考えてみます。EIMでは内側の機器の(Address, Port)とルーターの使用ポートが1対1に対応します。いま、例えば、192.168.1.1:40000がgoogle.comにアクセスしようとしたため、ルーターが「192.168.1.1:40000には44444番を使う」というようにマッピングしたとしましょう。この状態では、もちろんgoogle.comから1.1.1.1:44444への正当な通信（応答）は通ります。しかし、例えばyahoo.comのような別のところから通信が来たらどうでしょうか？

これを決めるのがFilteringです。Endpoint Independent Filtering (EIF)は、有効な（既にマッピングで使われている）ポートに来た通信はどんなものであっても全て通します。つまり上記のyahoo.comの通信も192.168.1.1:40000に転送されます（ただしもちろん192.168.1.1:40000を使っているアプリケーションがそれを無視・拒絶する可能性はある）。これに対して、Address Dependent Filtering (ADF)は、google.comからの通信のみを内側に通します。さらに、Address and Port Dependent Filtering (APDF)は、通信先のポートも条件に加えます。つまり、内側からgoogle.com:80へと通信を行っていた場合でも、google.com:8080から来た通信は内側には通しません。

EIM NATはcone NATと呼ばれると前述しましたが、EIM/EIFなNATはfull cone NAT（フルコーンNAT）、EIM/ADFなNATは(address-)restricted cone NAT（制限コーンNAT）、EIM/APDFなNATはport-restricted cone NAT（ポート制限コーンNAT） とそれぞれ呼ばれます。

Filteringの違い - 他のMappingの場合

他のMappingについても考え方は同様です。

ポートの共有を行わない場合は、それぞれの（使用中の）ルーターのポートに対応する内側の(Address, Port)が一意に定まるので、EIMと同様にEIF/ADF/APDFの区別が考えられます。

ポートの共有がある場合は少し注意が必要です。異なる宛先アドレスに関してポートを共有する（＝ポートのマッピングに宛先アドレスが使用されている）場合は、未知の宛先アドレスから通信が来たとしてもそもそも対応する内側ポートが存在しない（どの(Address,Port)に転送すべきか決定できない）ので、Filtering以前の問題です（実際の動作としては、無視・拒否されることになるはず）。ただ、「既知のAddressの未知のPort」から通信が来たという場合は、それを（そのAddressに対してMappingされている）ポートに通すかどうかという選択肢があるので、それによってADF（通す）とAPDF（通さない）とに分類することはできます。

さらに、宛先アドレスまたはポートが異なればポートが共有されるかもしれない、という仕様であれば、既知の外側(Address, Port)からの通信でないと転送先を決められないので、事実上はAPDFのみということになります。

ポート共有が無かったとしても、例えばADM/APDMでEIFを採用する場合、特定のホストにしか使用しないつもりだったポートに未知の別のホストから通信が来たらその未知のホストとの通信にも使用することになります。内側から別のホストに接続する場合は別のポートを割り当てるのに外側から来た場合は同じポートを使ってもよい（=EIM的）というのも変な話ではあります。実際にこのような動作をする機器は知る限りではありません。

従って、事実上は、「ADMならADF/APDF、APDMならAPDF」という関係が成り立っている可能性が高いではないかと思います。

これは、先ほどのような「ADMやAPDMの定義には当てはまらないが、アドレスあるいはアドレスとポートに従ったマッピングを保持する」ようなNATについても同じです。つまり、「宛先リモートアドレスが違う場合にはポートを共有したい」ならADF（またはAPDF）になるし、「リモートポートだけが違う場合でもポートを共有したい」ならAPDFになります。

Connection Dependent Filtering

接続の概念があるTCPにおいては接続にもとづいたマッピング（Connection-Dependent Mapping）も考えられるということを前述しましたが、Filteringに関しても同様に（既知のアドレス・ポートから来ていたとしても）外部からの接続要求（SYN）は内側に転送しないという動作が考えられ、RFC 5382において「Connection-Dependent Filtering」と呼ばれています。実際、このような動作をするNATシステムはそれなりにありそうです。

NATの種類まとめ

今までの主なNATの分類・呼称をまとめると以下の表のようになります（適宜用語を略している部分があります）。

この表に含まれないNATの動作はいくらでも考えられます。

「Connection Dependent Mapping (or Filtering)」もその一例です。後述の「ポートの共有を行うようなNATでEIMでもADMでもAPDMでもないもの」や、あるいは「基本的にEIMだが、気が向いたら内側の(Address, Port)が同じでも別のポートを使ってみる」といったような振る舞いをするNATも理論上は可能です。そのようなNATはRFC 4787の用語でいえば非決定的NAT（Non-deterministic NAT）ということになると思います。

また、Mapping/Filteringの動作はプロトコルごとに独立に決めることができます。例えばUDPがEIM/EIF、TCPがAPDM/APDFといったような動作が可能です。UDPとTCPの動作は互いに全く干渉しないのが普通だと思います。理論上は、例えばTCPでもUDPでも必ず同じポートを利用する（いわば"Protocol Independent Mapping"）ようなものも考えられますが、聞いたことはありません。

その他、奇妙な動作をするNAT

Cloud NAT の Endpoint-independent Mapping とは？ | by Seiji Ariga | google-cloud-jp | Mediumこれによると、Google Cloud NATはEIM/EIFのくせに通信先を覚えておいて無理やりポート共有をするという実装になっています。そのせいで、同じ外側ポートを共有している片方のポートが既に通信していた宛先にもう片方も通信しようとするとENDPOINT_INDEPENDENCE_CONFLICTで失敗します（通信が通らない）。こんな実装をしてはいけません。

あと、この資料https://www.janog.gr.jp/meeting/janog30/doc/janog30-v64-pre-stun-ryosato-02.pdfの「ポート多重」のところにあるようなNAT（「最後に送信した方にレスポンスを届ける」）も、本当に存在するのか知りませんが、まともに通信できないのでダメです。

二重NAT（二重ルーター）について

環境によっては、NAT機器の内側に別のNAT機器があってその内側でインターネットを利用することになる場合もあります。このときは、全体としての（内側の端末がインターネットを利用するにあたっての）NATの動作というのは、基本的には2つのうちで厳しい方（Endpoint Independent<Address Dependent<Address and Port Dependent）を継承することになるのではないかと思います（ちゃんと証明してはいませんが）。例えばEIM/APDFとADM/ADFが二重ルーターになっていたらADM/APDFになるはずです。二重NATだとSymmetric NATになるというような説明を見かけることもありますがそれは誤りで、EIM/EIFであるNATが二重になっていたならそれは全体として引き続きEIM/EIFとして機能するはずです。一応、この資料とかはちゃんとそんな感じで書いてありますね。

ファイアウォールの影響

NATではありませんが、内側から出て行った通信への応答だけを通す（いわゆるステートフル）ようなファイアウォールは、（厳密には実装によりますがおそらく基本的には）UDPならAddress and Port Dependent Filtering、TCPならConnection Dependent Filteringとして機能します。つまり、PCの外側がEIM/EIFだったとしてもPC内部からはEIM/APDFのように見えるということになります。

ポートの消費とマッピングのタイムアウト

NAT機器は様々なアルゴリズムを使って内側の機器に未使用のポートを割り当てていくわけですが、使用可能なポートの数は有限なので、いつかはポートが全て埋まってしまいます。ポートを割り当てることができなければ、ルーターの外側との新規の通信はできなくなってしまいます（ポートの枯渇）。

このため、どのMappingの手法を採用するにしても、タイムアウト時間が設定されており、一定期間使用されなかったMappingは削除されます。タイムアウト時間は、ルーターの設定やプロトコルによりますが数十秒-数時間程度です。これにより、有限個のポートを使い回しながらインターネットを使い続けられます。タイムアウト時間が短いほうがポートの消費は少なくて済みますが、短いと頻繁にテーブルの更新が必要でオーバーヘッドが大きくなります（多分）。また、時間経過ではなく実際に不足した際にもっとも長く使用されていないものを無効にする（LRU）方式のものもあるようです。

「フィルタリングのタイムアウト」（＝過去何分以内に通信した相手なら履歴が残っているか）も存在しそうですが、これがシビアに影響してくる場面はあまりなさそうで、詳しい説明は見たことがありません。単純にマッピングがタイムアウトするまで無制限に保持されているという可能性もあるでしょう。

利用可能なポート数とポートの共有

EIMではポートの共有ができず、一度内側の(Address, Port)に対して割り当てられたポートはタイムアウトまでは他の(Address, Port)からは一切利用できません。それに対してADMやAPDMでは宛先が異なればポートの共有が可能（お互いのキャパシティを圧迫しない）なので、特定の宛先への通信が大量に行われなければポートの枯渇は発生しません。

EIMの場合、通常の家庭での使用で消費するポートの数はおそらく100-200程度と思われます（IPoE接続でIPv4の固定IPが利用が使えるプロバイダ | インターリンク【公式】などでは200-300と書いてありますが、実際には200も消費することはあまりないでしょう）。

従来のPPPoE方式のインターネット契約ではグローバルIP1つを専有できるため使用可能なポート数は65535であるため、20人の家族が全員同時に300ポートを使用してやっと枯渇するかどうかというレベルですが、最近増えてきているIPv4 over IPv6 (IPoE)方式のISPでは、MAP-E方式と呼ばれる「v6プラス」（240ポート）、「OCNバーチャルコネクト」（1008ポート）、DS-Lite方式の「transix」「クロスパス」（1024ポート）など、65535ポートより少ないポートしか使えない仕様のものも多くあります。このようなISPを利用する場合は、ルーターのNATがポートの共有を行う仕様であることが望ましいと言えます。

ADMやAPDMであるにもかかわらずポートの共有を行わない場合、新たな宛先と通信するたびに未使用のポートの割り当てが必要なので、むしろEIM以上にポートを消費することになります。ただ、現実にポート消費の多くの割合を占めると思われるHTTPなどでは（クライアントPCの）1つのポートから異なる宛先に通信することは多分ないので、意外と問題ないのかもしれません。

「ポートセービングIPマスカレード」について

お気づきの方もいると思いますが、上級ユーザーの間で人気が高いYAMAHA製のルーターの機能である「ポートセービングIPマスカレード」は、基本的には今まで説明してきたような「ポートの共有」を指します。ポートの共有を指す一般的な用語として「ポートセービングIPマスカレード」（あるいは「ポートセービングNAT(NAPT)」など）が使われることも多くあります。「port saving」で検索してもほとんど何も出てこないので、英語圏ではおそらく通用しないと思います。

YAMAHA製品に関しては、公式のNAT動作タイプの違いについてなどに「宛先のポートが異なっていれば共有されうる」ことが明記されているので、内部的には宛先のアドレスとポートに基づくマッピングで管理している（念のため、これは必ずしも"APDM"の定義とは合致しないことに注意）ことになります。

UDPホールパンチング

ここからUDPホールパンチングの話題になります。

基本的に、インターネット上の2箇所の間で通信を行うには、少なくとも片方（受信側）はグローバルIP上に常時有効なポートを所有していることが求められますが、NATのマッピングによって一時的に割り当てられるポートをそのかわりに使用することも可能です。つまり、条件が合えば、受信側のPCの(Address, Port)に一時的に割り当てられたグローバルIP上のポートを通じて発信側のPCからの通信が受信側に通るようになります。一旦通信が通ってしまえば、定期的にパケットのやりとりがある限りはマッピングが維持されるため、いつまでも通信を継続することができます。これにより、静的なNAT設定（いわゆる「ポートの開放」）を行っていないNAT環境にいる端末同士の間でも直接的な（中継サーバーを使用しない）通信（＝P2P通信）が可能になります。

成立のしやすさはNAT機器の動作やプロトコルに応じて様々（後述）ですが、基本的にはUDPのほうが成立しやすく、よく使われます。（基本的には外側からの通信を内側に通さない）NATの動作に「穴」を開けるイメージから、この手法は「UDPホールパンチング」と呼ばれています。

EIM/EIFでのUDPホールパンチングの流れ

今までNAT機器のMappingとFilteringについて説明してきましたが、いずれについても、Endpoint Independent→Address Dependent→Address and Port Dependentと後にいくほど「限られた相手との通信しか許容しない」傾向になるため、UDPホールパンチングを成立させるのがより難しくなります。

まずは最も簡単に成立するEIM/EIFを例に、UDPホールパンチングの流れを説明します。

まず、片方（例えばPC1とします）は、自分の(Address, Port)から（PC2とは異なる）インターネット上のサーバーに対してアクセスを行い、自分の(Address, Port)にどのようなグローバルIPとポートが割り当てられたかをそのサーバーから通知してもらいます（NAT機器が自分の管理下にあるのでなければ、内側から直接それを知るのは困難）。次に、その「グローバルIPとポート」をもう一方（PC2とします）に通知します（この時点では中継サーバーなどを使用）。PC2はその「グローバルIPとポート」にアクセスすると、NATがEIM/EIFであることから、PC2からのパケットはNATで破棄されることなくそのままPC1に到達します。これにより、P2P通信が成立します。いわば、EIM/EIFというのは「一時的にポートを開放できる」ような仕様であるため、きわめて容易にUDPホールパンチングが成立します。片方がEIM/EIFであればよく、もう一方は何でも構いません。

上記のうち「自分に割り当てられたIPとポートを通知してもらう」部分に関してはSTUN(Session Traversal Utilities for NAT)というクライアント-サーバー形式のシンプルなプロトコルがあります。稼働しているSTUNサーバーに対してクライアントがアクセスすると、サーバーはクライアント側のグローバルIPとポートを通知します。STUNは前述の（cone NATなどを定義している）RFC 3489で標準化されましたが、その後RFC 5389で更新され、現在はRFC 8489が最新の仕様となっているようです。STUNとは - 意味をわかりやすく - IT用語辞典 e-Wordsの説明もわかりやすいです。

その他の各NATタイプにおけるUDPホールパンチング

両者がEIM同士であれば、EIFでなくてもUDPホールパンチングは成立します。まず、両者（PC1, PC2とします）がそれぞれSTUNサーバーと通信して自分自身に割り当てられたIPとポートを知り、それをお互いに通知します。次にPC1がPC2のグローバルIPとポートに向かってパケットを送信します（EIMなのでこれは先ほどと同じポートを通じて送信されます）。PC2側がADFまたはAPDFであった場合、PC1のIPは未知なのでこのパケットは破棄されますが、PC1側のほうではPC2側へのパケットの送信履歴が残ります。次にこんどはPC2側からPC1側にパケットを送信（これもやはり同じポートが使用される）すると、PC1側のNATには既にPC2側に送信した履歴があるためにPC2は既知の通信先と判断され（APDFを通過し）、PC1に到達します。これでUDPホールパンチングが成立します。

あと残っているのは、片方がEIMであるもののEIFでなく、もう片方はEIMでないという場合です。

まず、片方（PC1）がEIM/ADF、もう一方（PC2）がADMまたはAPDMという場合ですが、このときはUDPホールパンチングが成立します。この場合、まずPC1とPC2がSTUNで自分のグローバルIPとポートを取得し、次にPC1がPC2側のポートにパケットを送信し、破棄されます。ここまでは先ほど完全に同じです。次にPC2がPC1側のポートに向かってパケットを送信しますが、PC2側はEIMでないため、これはSTUNで取得したものとは別のポートを通じてPC1に送信されます。しかし、PC1側はADFなので、既知の送信先とアドレスさえ一致していれば、ポートが未知でも通信を通します。これでUDPホールパンチングが成立します。

PC2側の環境によっては割り当てアドレスも変化するかもしれませんが、それほど大量のIPアドレスが選ばれうる環境は多くないと思うので、数回試行すればUDPホールパンチングは成立する可能性が高いでしょう。一般に、P2P通信ではメインの通信のスループットが重要であり、P2P通信が開始するまでに多少の遅延が生じることは許容できる場合が多いと思います。

次に、PC1がADFではなくAPDFだった場合は、途中まで同じですが、PC2からのパケットが来たときに、PC1のNATがAPDFなので未知のポートからの通信を破棄してしまいます。従ってUDPホールパンチングを成立させるのは困難です。

また、両方ともADMまたはAPDMの場合は、お互いに相手との通信の際に割り当てられるポートがわからないため、（フィルタリングによらず）UDPホールパンチングは困難です。

まとめるとだいたい以下の表のようになります。

ポート番号の確率的な予測

上記のように、ADM/APDMではSTUNを使ったとしても実際の相手との通信に使用されるポート番号がわからないためUDPホールパンチングが困難ですが、異なるポート番号が使用されるといっても実際には何らかの規則性が存在する場合も多くあります。よくあるのは、宛先が変わると以前割り当てたポートより一つ大きい番号のポートを使用するというようなもので、この場合であれば、STUNでポート番号を取得した直後に一つ大きい番号のところに向かって他方のPCからパケットを送ればホールパンチングが成功します。P2Pソフトウェアではこのような動作が実装されているものも多くあります。

ものによっては宛先ごとに完全にランダムなポートが割り当てられるNATもあり、こうなるとホールパンチングは確率的にも非常に困難になります。

TCPホールパンチングはできるのか？

STUNプロトコル自体はTCPでもUDPでも使用可能で、その他の部分に関してもTCPとUDPで特に差は無いため、TCPにおいてホールパンチングが成立する条件は（Mapping/Filteringが同じであれば）実はUDPと変わりません。しかし実際にはLinuxのnetfilterなどはConnection Dependent Filteringを採用しています。例えば両者がEIM/Connection Dependent Filteringである場合を考えると、外側からの新規の接続は基本的に全てブロックされてしまうため、タイミングを揃えて両側からSYNパケットを送信するような困難で非効率な手法が必要になります（参考: TCPでホールパンチングしてみるなど）。

このような事情があるために、ホールパンチングはほとんどUDPで行われます。

NATとセキュリティ

NAT(NAPT)はセキュリティのための機能ではないとよく言われますが、同時に（一部の）NATは実際にそれなりのセキュリティ効果があるというのも事実です。

NATタイプの中では、Mapping/Filteringの制約が強いものほどセキュリティ効果も高くなります。EIM/EIFでは割り当てられたポートは全世界からのアクセスを内側に通すようになる（「一時的にポートが開放された」状態になる）ので、セキュリティとしてはあまり高くありません。一方、EIMであってもADFあるいはAPDFなら特定の相手との通信しか通さなくなります。ADMとAPDMも同様です。TCPの場合、Connection Dependentなら一段とセキュリティは高くなります。

過去記事のDROP vs REJECT論争、そしてWindowsとLinuxのファイアウォールの動作の違いについて - turgenev’s blogでも書いた通り、TCPは開いているポートを隠蔽することができず、またsshなど重要なサービスが実行されていることが多いので、厳しめのNATにしておくのがいいかもしれません。

また、NATタイプによらず、外側に出て行ったのと同じポートを即座に別のアプリケーションで使用するようなことをするとアクセスが通る可能性があり危険なので、一般論としてポートを使用するアプリケーションではエフェメラルポートとして使用されない29999番以下程度のポートを使用するのが安全ではないかと思います。

STUNによるNATタイプの判定

STUNでは、PCのポートに対して割り当てられたグローバルIPとポートを知ることができるので、これを使ってNATタイプを判定することができます。つまり、host1:port1とhost1:port2とhost2:port3という3か所でSTUNサーバーが稼働していれば、クライアントはそれぞれにアクセスして自らに割り当てられたポートを知ることで、マッピングがポートとアドレスに応じてそれぞれ変化するかどうかを知ることができます。さらに、host1:port1へのアクセス時に割り当てられたポートに向かってhost1:port2とhost2:port3からそれぞれパケットを送信してもらい、それが届くかどうかによってフィルタリングがポートとアドレスそれぞれに基づいているかどうか判断できます。

事前にhost1:port1とhost1:port2とhost2:port3を全て把握しておくのでももちろんいいですが、サーバーが対応していれば、自らのポートやアドレスを変更したSTUNサーバーの情報を"Other Address"として通知してくれるのでこれを用いることもできます。

若干雑な説明でしたが伝わったでしょうか。詳細はゲームでよくある「NATタイプ」はどう判定しているの？や接続 | 好奇心旺盛な人のためのWebRTCなどにあります。

利用可能なSTUNのクライアント・サーバー

STUNのクライアントとしてはStuntman - open source STUN serverのstunclient（Windows/Linux/macOS）が利用可能です。（サーバーがOther Addressに対応していれば）--mode behaviorと--mode filteringでそれぞれmappingとfilteringの情報が出力されます。ただしTCPに関しては動作が不自然で、NATタイプを調べるにはPC側のポートを固定する必要があるにもかかわらずサーバーごとに異なるポートを使用してしまっているようなので--localportを指定する必要があります。これで--mode behaviorではちゃんと動くのですが--mode filteringではエラーになってしまいます（かといって指定しないと結果がおかしくなる）。手動でパケット送ったりサーバー立てたりすれば一応調べられるのですが面倒なので、ちょっとしたテストツールを作ってみました: GitHub - ge9/tcp-nat-filtering-discovery。ちゃんと2つのIPからテストパケットを送って調べてくれます。

Androidアプリは現在利用不可のものしか見つけられませんでしたが、stunclientはtermuxで動作しました。ビルドにあたって、common/commonincludes.hppの"sys/termios.h"を"termios.h"に書き換え、pkg installでboost-headersとbinutilsを入れる必要がありました（書いてから気づいたけど、普通にpkg install stuntmanでインストールできた…（openssl-toolも必要））。

あとは、リモートアクセスチェックツール｜DiXiM.NETというアプリも簡単な判定を行ってくれます。Android/iOS版があります。ただEIM/ADFとEIM/APDFが区別されておらず（この2つがまとめてタイプ4）、IPアドレスやポートなどの詳細も出ないのであまりおすすめはしません。

上記のStuntmanはサーバーソフトウェア（stunserver）も入っています。そのほかGitHub - coturn/coturn: coturn TURN server projectなどもstunサーバー/クライアントとして機能しそうです。ちなみにTURNというのはSTUNを用いたUDPホールパンチングが成立しないときによく使われるリレーサーバーのプロトコルです。

STUN自体は相手のポートとアドレスを通知するだけの軽量なプロトコルなので、無料で利用可能なサーバーもあります。STUN server list · GitHubに色々と載っています。

ただし、TCPに対応しているものは少なく、見つけられた中でTCPでも使えるのは

stunserver.stunprotocol.org（Stuntmanのサイトに載っている）
stun.f.haeder.net（個人運営っぽい）
freestun.net

の3つでした。UDPでは上記に加えて、

stun.l.google.com:19302
stun1.l.google.com:19302
stun2.l.google.com:19302
stun3.l.google.com:19302
stun4.l.google.com:19302
stun.ekiga.net
stun.schlund.de
stun.voipbuster.com
stun.voipstunt.com
stun.xten.com

が利用可能でした（ポート番号の記載がないものは全てSTUNプロトコルのデフォルトの3478番）。このうち太字になっているものでは"Other Address"に対応しているのでstunclientのbehavior/filteringによるテストができました。

前述の通り、stunclientの不具合（？）によりTCPのfilteringについてはSTUNでのテストの方法がよくわからないので、手元ではかわりにnetcatなどを用いて手動で疎通確認をしていました。

またSTUNではありませんがIP確認のためによく使われるアクセス情報【使用中のIPアドレス確認】ではクライアント側のポートも表示されます。ただしPC側のポートを指定してHTTPリクエストを投げるのは結構面倒なのであまり使う場面は無さそうです。

前述しましたがfilteringについて調べるときはファイアウォールを適宜無効にする（Linuxなら一部ポートを開ける、Windowsなら実行ファイルに対して許可設定をする）のを忘れないようにしましょう。

PS4やNintendo SwitchでのNATの呼称

PS4やNintendo Switchなどの対戦ゲーム機ではUDPホールパンチングが使われており、通信の成立条件の目安としてゲーム機で「NATタイプ」を表示する機能があります。

Nintendo Switchでは「NATタイプA/B/C/D/F」と分類されており、それぞれフルコーンNATまたは制限コーンNAT、ポート制限コーンNAT、シンメトリックNATのうちポートが連番で割り当てられるもの、シンメトリックNATのうちポート番号の予測が困難なもの、UDP通信ができない環境（NATの問題ではない）、に対応するようです。（参考:　Nintendo Switch の「NATタイプ」判定条件 #Network - Qiita）

他にはPS4/PS5やXboxなどにNATタイプの概念がありますが、情報が少なくあまりよくわかっていません。特にEIM/ADF（制限コーンNAT）は実機がほぼ流通していなことから情報がほとんどありません。

PS4/PS5では「NATタイプ1/2/3」と分けられており、フルコーンNATは1、ポート制限コーンNATは2、シンメトリックNATは3になるようです。

Xboxでは「オープン/モデレート/ストリクト」に分かれており、フルコーンNATはオープン、ポート制限コーンNATはモデレート、シンメトリックNATはストリクトになるようです。

実際のNAT機器の動作

Linuxのnetfilterのconnection trackingとNAT動作の仕組み - turgenev’s blogに書いた通り、Linuxは普通に設定するとUDPがEIM/APDF(ポート制限コーンNAT)、TCPがEIM/Connection Dependent Filteringになります。

Windowsの「モバイルホットスポット」はUDPがEIM/EIF、TCPがAPDM/Connection Dependent Filteringでした。試せなかったのですがおそらく「インターネット接続の共有」もそうでしょう。

AndroidはLinuxなのでAndroidのテザリングもLinuxと同様になります。iPhoneは持っていないのでわかりませんが「iPhone テザリング NAT」で調べるとNATタイプAになったという情報が結構出てくるのでUDPはEIM/EIFなのではないかと思います。

家庭用ルーターに関しては、カタログスペックには載らない部分なので情報は少ないのですが、低価格帯のものはたいていLinux搭載なので同じくPort Restricted Coneのものが多いのと思います。少なくとも自宅のRX-600KI（NTTのHGW）、WSR-1166DHPL2（Buffalo）、 Aterm  WX1500HP（NEC）、WRC-1167FS-B（ELECOM）はそうです。ネットで調べるとBuffaloのWSR-5400AX6とかWSR-1800AX4とかはNATタイプがCになる（Symmetric）という情報を見かけます（ファームウェアアップデートで治る場合もあるらしい）。

他に情報としては以下のようなものがあります。

家庭用ルーターのNAT特性

プロバイダによるCG-NATなど業務用のものではフルコーンNATも多くあります。例えばdocomoのスマホ回線やDS-Lite(transix)はTCP/UDPともにフルコーンNATです（TCPホールパンチングも成功します）。d-WiFiは0001docomoがフルコーンで0000docomoがシンメトリックです。

まとめ

NATタイプとかUDPホールパンチングに関して大体のことはまとめられたかと思います。質問なども歓迎しております。

概要

この記事では、IP通信における不要なパケットへの2通りの対処法であるDROPとREJECTがWindowsやLinuxのファイアウォールにおいてどのように使われているか説明し、Linuxの動作をWindowsに近づけるための（おそらく英語圏含めほとんどあまり知られていない）具体的な方法なども紹介します。

DROP vs REJECTとは

全世界がインターネットで接続された現代では、いつ、どこから、どんなパケットが自宅に届くかわかりません。素性のわからない"招かれざるパケット"が自宅に届いたとき、我々には2つの選択肢があります。1つは単にそのパケットを無視（破棄）すること、もう1つは相手に「これは受け入れられません」と通知する（した上で破棄する）ことです。

Linuxにおいてパケットの扱いを設定するiptables（や、その後継のnftables）では、前者（無視）にDROP、後者（明示的な拒絶応答）にREJECTという言葉を使うため、以降ではこの2つの用語を説明に用います。

日本製のルーターのパケットフィルタ設定では「無視」「拒否」のような用語が使われており、同じLinuxでもufw（後述）はDROPのかわりにdenyという単語を使っています。従って、DROP/REJECTという用語がIPの仕様で定められているとかいうわけではないと思います。多分。

で、このDROPとREJECTのどちらがセキュリティ的に優れているか？というのが、どうやらネットワーク界隈でときおり議論になるトピックのようです。

大前提として、DROPもREJECTも攻撃者のパケットの内容を一切無視するという点では変わらず、この2つのどちらを採用するかによる安全性の違いというのは、インターネットとの接続に使用する各種ソフトウェアの安全性の違いに比べれば微々たるものです。実際に何か攻撃を受けてしまったとして、「DROPだったから攻撃を受けた」「REJECTにしておけばよかった…」みたいな話になることはあまりないでしょう。とはいえ、ネットワークの情報をできるだけ秘匿したいという心理的な面も含めて多少は安全性に影響する部分もあり、またトピックとしてもそれなりに面白いと思います。

REJECTの方法の分類、TCPとUDP

DROPは文字通り来たパケットを単に無視するというそれだけなのですが、REJECTに関しては「これは受け入れられません」という拒絶応答をどういう形式のメッセージで返すかという違いがあります。

拒絶応答に用いられるプロトコルはICMPというもので、筆者もあまりよくわかっていませんがIPと同じL3層のプロトコルで、pingにも用いられているものです。

このICMPの拒否メッセージには以下のようなものがあります。

icmp-net-unreachable
icmp-host-unreachable
icmp-port-unreachable
icmp-proto-unreachable
icmp-net-prohibited
icmp-host-prohibited
icmp-admin-prohibited

例えば、icmp-host-unreachableは、同じサブネット内の存在しないIPアドレスにpingしたときとかに（自分自身から）返ってきます。閉じている（アプリケーションがリッスンしていない）UDPポートにアクセスしようとしたときはicmp-port-unreachableが返ってきます。これはWindowsでもLinuxでも同じです。ほかのはよくわかりませんが、まあ使い道がどこかにあるのでしょう。

UDPではなくTCPの場合は、上記のどれかを返してもいいのですが、それ以外にTCPのRST（リセット）パケットを送るという選択肢があります。ICMPはTCPとは全く別のプロトコルで、ポート番号の概念も無いのですが、TCPのRSTならTCP内でやりとりが完結するので、むしろ分かりやすいかもしれません。WindowsやLinuxで閉じているTCPポートにアクセスしたときにはTCPのRSTが返ります。

これら以外だとping応答など一部で使用できるecho-replyというのがあるらしい（https://www.asahi-net.or.jp/~aa4t-nngk/ipttut/output/rejecttarget.html）ですが、REJECTの方法の選択肢としては概ね上記の通りです。

Webで使われているHTTPはTCPが使われているので、REJECTの挙動はブラウザで手軽に試せます。たとえばlocalhost:33333とか適当なポート番号を打ってみると、直後（Windowsなら2秒後くらい）に「接続が拒否されました」というような応答が返ってくるはずです。

DROPも試してみる

即座に拒否が返ってくるREJECTの雰囲気は先ほど試したので、次はDROPがどんな感じなのか試してみましょう。例えばブラウザにgoogle.com:8000とか適当なポート番号を付けて打ってみると、ぐるぐると読み込み状態になるだけでいっこうに反応がなく、十秒以上ののちにブラウザがようやく諦めて「アクセスできません」「タイムアウトしました」「応答時間が長すぎます」的な表示になります。つまりDROPだと応答が一切返ってこないので、単に（回線の遅延などで）読み込みに時間がかかっているのかそれとも無視されているのかが判別できないというわけです。

アクセスしている側からすると、REJECTは「すぐに拒絶が返ってくる」、DROPは「時間がかかっているのか無視されているのか分からない」という感じになります。

ポートスキャン入門: TCP

REJECTかDROPか、あるいはポートが開いているのかといったことを判断するのにいちいちブラウザを使っていたのでは手間ですし、そもそもブラウザはHTTPにしか対応していないので、専用のツールを導入しましょう。ここでは広く使われているnmapを使用します。

nmapを使えば、各ポートがそれぞれ外部からのパケットにどのように応答するかを確かめることができます。攻撃者はこのようなツールを使って65535個のポートをしらみつぶしに調べて何か攻撃のとっかかりがないか探すことがあり、このような行為をポートスキャンといいます。従って、他人のIPアドレスにむけてむやみにnmapを使うと攻撃の準備と見なされるおそれがありますが、今回は自分のPCの動作確認なので問題ありません。

nmapのインストール方法は省略します。Linuxではsudo apt install nmapです。Windows版もあるようです。

まずはlocalhost対象に、TCPからやってみましょう。確認のために、適当な番号でHTTPサーバーを立てておきましょう。

python -m http.server 8001 

それからnmapで8001を含む3つのポートをスキャンしてみます。結果が以下です。

$ nmap -p 8000-8002 -sT localhost -Pn
Starting Nmap 7.80 ( https://nmap.org ) at 2023-11-27 16:26 JST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000097s latency).

PORT     STATE  SERVICE
8000/tcp closed http-alt
8001/tcp open   vcom-tunnel
8002/tcp closed teradataordbms

Nmap done: 1 IP address (1 host up) scanned in 0.02 seconds

HTTPポートを立てた8001だけがopen、それ以外はclosedと判断されています。ちなみに"SERVICE"の"http-alt"みたいなのは、「そのポートで一般によく使われるサービス」を参考に示しているだけで、実際に起動しているアプリケーションとは何も関係ありません。

nmapのオプションの-sTというのがTCPでスキャンすることを表しています。ちなみに、TCPスキャンの中には、root権限が必要なかわりに高速なSYNスキャンという別の方式もあり、こちらは-sTのかわりに-sSを指定します。-Pnは多分おまじないみたいなやつで、今回扱う範囲だとつけておいたほうがうまくいきます。

次に、DROPの例としてさっきのgoogle.comの例もやってみましょう。（以降、nmapの出力の余計な部分は削ります）

$ nmap -p 8000-8002 -sT google.com -Pn
PORT     STATE    SERVICE
8000/tcp filtered http-alt
8001/tcp filtered vcom-tunnel
8002/tcp filtered teradataordbms

このように、open/closedとは異なるfilteredというキーワードが表示されます。これは、応答が一定時間内に返ってこなかったことを示します（フィルタという用語は、パケットを選別する機構一般のことを指す？）。つまりDROPされたということです。

UDPでポートスキャン: 開放していてもDROPになる？

次はUDPでも試してみましょう。UDPで動くサービスということで、netcat（nc）を使ってみます。

nc -lu -p 9001

ちなみに、この-luのuがUDPを表しています。つまりTCPでも使えるということです。httpよりこちらのほうが手軽かも…。

で、nmapでスキャンすると次のようになります。UDPでのスキャンにはroot権限が必要です。

$ sudo nmap -p 9000-9002 -sU localhost
PORT     STATE         SERVICE
9000/udp closed        cslistener
9001/udp open|filtered etlservicemgr
9002/udp closed        dynamid

先ほどと似ていますが、openではなくopen|filteredという表示になっています。これはopenかfilteredのどちらであるか判断できなかったということです。次にgoogle.comの例もやってみます。

$ sudo nmap -p 8000-8002 -sU google.com -Pn
PORT     STATE         SERVICE
8000/udp open|filtered irdmi
8001/udp open|filtered vcom-tunnel
8002/udp open|filtered teradataordbms

やはり全てopen|filteredとなっています。

これはUDPとTCPの動作の違いによります。TCPは双方向の接続に基づくプロトコルであり、3ウェイ・ハンドシェイクというプロセスで接続の準備を完了してからきっちり順番を決めてパケットを送っていきます。一方、UDPはもっと無秩序で、順番が乱れたりロストしたりするのも構わず事前準備なしにひたすらパケットを送り付けるというプロトコルです。この特性上、UDPで起動しているサービスは、意図した形式・内容のパケットが送られてこなければ何も応答しないこともできます。従ってnmapは、送ったパケットがルーターなど外側で弾かれたのか、それともアプリケーションに届いたのにもかかわらず応答がなかったのか判別ができないのです。いわゆるポート開放確認系のツールがTCPにしか対応していないのはこのためです。UDPで正しくポートが開放されているか確認するには実際に対応したアプリケーションで接続してみるしかありません。

TCPでは、通信内容（認証情報とか）で態度を変えようと思っても、内容のある通信を始める前に必ず形式的なハンドシェイクが必要なので、このような「openかfilteredかわからない」ような状態を作り出すことはどうやってもできません。

これはある意味ではUDPがTCPより優れている点とも言えます。実際、UDPを使用するVPNであるWireguardなどはこのような点でセキュアであるという意見もあります（参考: WireGuard概要まとめ）。ただし、実際にWireguardで通信を行う際には宛先IPとポートは平文で見えてしまうので、使用するネットワーク経路を完全に信用できない限りは、誰にもポート番号が分からないようにするのは難しいかと思います。また当然ですがWireguardのセキュリティの99%以上はポート番号がバレないことではなく内容の暗号化が強力であることに由来します。

Windowsのファイアウォール

DROP/REJECTの概念にも慣れてきたところで、次は実際のネットワーク機器のファイアウォールの動作について説明します。まずはWindowsです。

Windowsのファイアウォールは基本的にDROPを採用しています（Windowsのファイアウォールは「受信」と「送信」に分かれていますが、この記事に関連するのは主に「受信」のほうです）。また、アプリケーションごとに許可/ブロックを設定できるのが特徴で、条件に一致したアプリケーションに対するパケットのみがファイアウォールを通過できます。言い換えれば、アプリケーションが起動しているときのみポートが開放され、それ以外は全てDROP、というのがWindowsの動作です。

手元にWindowsを含む2台のPCがあればnmapで試すことができます。何も起動していないポートは、TCPならfiltered、UDPならopen|filteredと表示され、TCPのほうは起動した瞬間にopenに変わり、UDPは変わらないあるいは（アプリケーションが通信を返せば）openになるはずです。

この「許可されたアプリケーションが起動した瞬間に切り替わる」的な動作が具体的にどのように実装されているのかなどの詳細はわかりませんが、Windowsはとりあえずこんな感じです。あと、今回の議論には関係ありませんが「プライベート ネットワーク」「パブリック ネットワーク」の区別があるのも慣れると結構便利です。

Linuxのファイアウォール

Linuxはそもそもデフォルトではファイアウォールが無効の場合が多いです。手元にデフォルト状態のLinux（Androidでも可）を含む2台の端末があったらnmapでテストしてみましょう。おそらく、何も起動していないポートはtcpでもudpでもclosedと表示されるはずです。起動したらそれぞれopenとopen|filtered（またはopen）に変わります。

しかし、もちろんファイアウォールを有効にすることもできます。広く使われているのはufwで、これは内部でiptablesあるいはnftables（コマンド名はnft）を用いているのでそちらで設定しても構いません。ufwもデフォルトではDROPを使用します（前述の通りufw用語としては"deny"）。これはユーザーが好きに変更することもでき、--reject-with icmp-port-unreachableや--reject-with tcp-reset（こちらはTCP限定）というオプションで各種応答を返すよう設定できます。

ufwにはアプリケーションごとのルール設定はなく、使用するポートごとに通過の可否を設定します。

• 追記: OpenSnitchなどはアプリケーションごとの設定ができそうですが、試していません。

許可する場合は、ufw allow 8080/tcpのようなコマンドを使うことになります

WindowsとLinuxの違い

ここまでの説明だと、アプリケーションで判断するかポートで判断するかというところが違うだけでWindowsとLinuxのファイアウォールの動作は（ufwのdenyを使うとすれば）あまり変わらないのでは？と思われるかもしれませんが、実はアプリケーションが起動していないときの動作に大きな違いがあります。

Windowsのファイアウォールは、起動中のアプリケーションを見てパケットを通過させるかどうかを判断するので、ポートがどのアプリケーションにも使われていないときはそのポートへの通信はいつものようにDROPされるだけです。

しかし、（ufwなどの一般に使われている）Linuxのファイアウォールは、「8080番ポートへのtcp通信を許可します」というようにポートに対して固定的に設定されます。つまり、8080番ポートがアプリケーションに使用されているかどうかとは関係なく常にポートが開放されます。するとどうなるかというと、アプリケーションが起動しているときはWindowsと変わりませんが、起動していないときはDROPされず、ポートが使用できないことを示すメッセージが返ることになります。すなわちUDPであればicmp port-unreachable、TCPであればRSTパケットが返ります。この挙動はファイアウォールで設定されたものではなく、Linuxカーネルによる標準的な応答方法であり、直接的に変える方法は無さそうです。

参考までに、以下のページでもやはり無理と書いてあります。

iptables - DROP packets (instead of REJECT) from specific port when no application is listening? - Server Fault

Replying to SYN with RST,ACK when port is closed. Solutions? [SOLVED] / Networking, Server, and Protection / Arch Linux Forums

これは、ファイアウォールの基本的な挙動としてDROPを採用している場合、あまり望ましい状況ではありません。というのも、外部から使いたいサービスのために一部のポートを開放した状態で、かつサービスが起動されていないとき、開放されているポートは他のポートとは異なる挙動をすることが外部から観測できてしまうからです。TCPの場合は、起動している場合はどうせ外部からわかってしまうのでまだいいのですが、UDPだと「openだとしても外部からはfilteredとの区別がつかない」というせっかくのメリットが、アプリケーションの停止時には失われてしまいます。

TCPに関してだけなら--reject-with tcp-resetを設定することで「開放されているもののlistenされていないポート」と「開放していないポート」の挙動は揃えられますが、UDPでは同様の発想で--reject-with icmp-port-unreachableにするとこんどはアプリケーションが起動しているときに特定ポートだけ反応が変わってしまいます。

別の方法として、アプリケーションの起動中にだけ動的にポートを開放するようにスクリプトを組むことはできるかと思いますが、Windowsのファイアウォールが「listenしているアプリケーションがいなければ無視」というシンプルな挙動をそのまま実現しているのに比べると筋の悪そうな方法です。

ということで、この記事で言いたかったことの一つは、Linuxのファイアウォールって実は重大な欠陥品じゃね？ということです。アプリケーションごとのルール設定ができないのはしょうがないとしても、ファイアウォールの一環として、「開放されているもののlistenされていないポート」に来た（自分自身以外からの）パケットへの応答をDROP/REJECTで設定できる機能を最低限提供するべきではないでしょうか？

追記: Windowsのstealth mode

後から知ったのですが、Windowsのみに存在する「閉じているポートへのパケットには応答せずDROPする」という動作は、stealth modeという名前の付いたれっきとした機能だったようです。レジストリから無効にすることもできるようです。

Stealth Mode in Windows Firewall with Advanced Security | Microsoft Learn

隠しモードを無効にする方法 - Windows Server | Microsoft Learn

ただ、Windowsではそもそも開放するポートを限定しないので、無効にした場合の動作がよくわかりません。全ポートがreject応答をするようになって、ファイアウォールは「許可されていないアプリケーションへの通信だけはブロックする」という役割になるのでしょうか。その場合DROPとREJECTのどっちになるんでしょう…？

各種ルーター

汎用のコンピュータであるWindowsやLinuxと共に、ネットワークの構成要素として避けて通れないルーターの動作についても説明します。

といっても、廉価な市販品も含め、ルーターにはLinuxベースのOSが入っていることも多く、PCと厳密に区別する意味はあまりありません。逆に、汎用PCとして使っているLinuxマシンをルーターとして使うこともできます（ただ、ethernetポートが2つついてないとさすがに厳しいかな？）。その場合は、Linuxで設定できる基本的な内容は設定できるかと思います。

ただ、一般的な家庭にあるルーターの動作という点でいえば、外部からの不要パケットは全てDROPに設定され、この部分を変更できないものがほとんどだと思います。パケットフィルタ設定はありますが、それはあくまでDMZやポート転送などでルーターの内側に入ってくるパケットへの対処を決めるものであり、無関係なポートに来るパケットへの反応は変更できません。

また、当然ながら、ポート転送（開放）設定で内側の機器のポートを外側に晒す場合、内側のポートが実際に稼働しているかどうかで挙動を変えるような（Windowsみたいな）ことはしてくれません。（高機能なルーターなら絶対に無いとは言い切れませんが…）

従って、ルーター経由でポートをインターネットに公開することを考えるなら、内側の機器の動作もルーターに揃えるのが望ましいということになります。ルーターがDROPで動いているなら、ポートを晒しているPCもそのポートはできるだけDROP的な動作にしたほうが目立たなくて済みますし、REJECTの場合も同じです。

DROP vs REJECT、結局どっち？

ここまで見てきたところで、結局DROPとREJECTどっちがいいの？という話に戻りましょう。いくつかの既存の議論も載せておきます。

パケットフィルタリングで不正パケットをDROPするかREJECTするか問題 - 新・日々録 by TRASH BOX@Eel わかりやすく、詳しい。良記事。ホストの存在自体を隠すのはどうせ無理という話が丁寧に書いてある。

iptablesはDROPすべきか、REJECTか。tcp-resetという手も - のめうブログ

iptablesは DROP , REJECT or --reject-with tcp-rest - Note to Self 上のブログを参考にしてそう

（以下は英語）

Drop versus Reject

IPtables: TCP-Reject vs DROP : linux

iptables REJECT vs DROP | todisco.de

[ale] iptables: DROP vs. REJECT --reject-with tcp-reset

Closed Ports Vs Stealth Ports, Drop Rules Vs Reject Rules - Which is better | Ron's Tech Tips

linux - REJECT vs DROP when using iptables - Server Fault

ufw Linux firewall difference between reject and deny - Stack Overflow

ip - Is it better to set -j REJECT or -j DROP in iptables? - Unix & Linux Stack Exchange

SANS - Internet Storm Center - Cooperative Cyber Threat Monitor And Alert System

Revisit REJECT vs DROP in #507 · Issue #2217 · fail2ban/fail2ban · GitHub

Is it better a CLOSED port or a FILTERED port to for DoS attack protection? : AskNetsec

linux - Why does iptables accept packets on a given port, when it is closed? - Unix & Linux Stack Exchange

[ubuntu] Is "Stealth" more secure than "closed" ports?

これらの記事と今までの内容をまとめると、大体以下のようになるかと思います。筆者の意見もあります。

• DROPを支持する意見
  • 攻撃者がポートスキャンを行う際にタイムアウトを待つ（1秒程度のオーダー）必要があるので、時間をかけさせることができる
  • 応答パケットを返さないので、PCへの負荷・回線への負荷・一部のDDoS攻撃への耐性の面で優れる
  • UDPの場合、DROPで統一していれば稼働中であってもアプリケーションの存在を完全に隠蔽できる
  • そもそも市販ルーターだとたいていDROP一択（なので、内側でもそれに従うしかない）
  • 単純にみんな使っているので無難（REJECTすると、積極的にネットワーク設定をいじる中上級ユーザーと思われて狙われるかも？的な）
  • google.comだってDROPしてたわけだし…
• REJECTを支持する意見
  • 応答が一瞬で返ってくるので、悪意のないユーザーを不必要に待たせることがない
  • TCPの場合、tcp-resetでREJECTすることで、Linuxの「ポートが開放されているもののアプリケーションがいない」状態を模倣できる

まず最初に重要なのは、一番外側の（インターネットに晒されている）機器の動作に揃えなければいけないということです。攻撃者というのは大抵はLAN内ではなくLAN外から入ってくるので、外側とのゲートウェイである市販ルーターなどの動作に従って、ルーター経由でサービスを公開しているPCの動作も決める必要があります。となると、一般家庭ではDROP動作をするルーターがほとんどなので、全体をDROPで統一するしかないということになります。外からのアクセス経路がなくLAN内からでないとアクセスできないPCではこの限りではありませんが、わざわざ変える理由もないでしょう。

さらに、UDP/TCPの各プロトコルごとに見ていきます。

まずUDPについてはDROPが明確に有利なのではないかと思います。DROPで統一することで、稼働中のアプリケーションの存在を隠蔽できるというメリットがある一方で、REJECTを使うことによるメリットはあまり見当たりません。

一方、TCPについては、REJECTも悪くはないですが、やはりDROPのほうが無難なのは間違いないと思います。ポートが開いていれば確実にバレてしまうので、それ以外のポートがclosedだろうがfilteredだろうが、使っているポートを知られるかどうかという点では変わりません。でも、それだったら省エネで済むしスキャン時間も稼げるDROPのほうが幾分マシです。REJECTに明確なメリットは見当たりません。

REJECTを支持する意見のうち、「悪意のないユーザーを不必要に待たせることがない」については、そもそも悪意のないユーザーが開放していないポートにアクセスしてくることは通常ないので、あまり説得力がありません。

2番目の「tcp-resetによるREJECTに統一すれば、全てが単なる"閉じているポート"に見える」というのも、いくつかのサイトに書いてあり、一見それっぽいですが、今まで書いてきた通り、これはあくまで「Linuxの挙動を前提にしたメリット」でしかありません。Linuxは、開放に設定したポートにアプリケーションがいない場合にtcp-resetを返してしまうので、やむを得ず周りをそれに揃えたというだけの話です。Windowsであれば、アプリケーションがいない場合はポートも閉じているのでtcp-resetが返ることもなくDROPされ、それで問題なく全ポートの挙動が揃います。tcp-resetが優れているというより、tcp-resetを使わせるLinuxが悪いです。

UDPの場合もicmp-port-unreachableを使えば閉じているポートを模倣できますが、こちらはアプリケーションが起動しているポートだけが目立ってしまうという欠点があるのは既に述べた通りです。

以上の通り、基本的には全てDROPで統一すべきであるというのが筆者としての結論です。Linuxだとアプリケーションが閉じているときにそのアプリケーション用のポートの挙動が変わってしまいますが、それはLinuxの責任です。この後、これを何とかする方法を紹介します。

最後に、もう一度言っておきますが、DROP vs REJECTのどちらを選ぶかよりも、実際に脆弱なアプリケーションをインターネットに晒さないことが一番大事です。

Linuxの挙動をWindowsに近づける

ここまでで、我々はDROPを採用すべきであることがわかりました。Linuxを使う場合は、挙動をそれに適合させるための工夫が必要です。

現状の問題点は、「開放されているもののlistenされていない」ポートにアクセスがあったら、TCPならTCPのRSTパケット、UDPならICMPのport-unreachableが送り返されてしまうということでした。それなら、これらのパケットが送り返されることを防止できれば、それは単なる無視（=DROP）と同じ動作になります。

前述の通り、これらのパケットをLinuxカーネルが生成して送り出そうとするのを止めることはできませんが、生成されたパケットが実際にLinuxマシンから外に出ていこうとするタイミングで止めることは実は可能です。

このためにはufwのバックエンドでもあったiptables、あるいは最近のLinuxならnftablesを使います。筆者のUbuntuはnftablesを使っているようだったのでそちらを使いますがiptablesでも本質は変わらないと思います。

TCPなら、特定ポートから出ていくTCP RSTパケットを全滅させるルール、UDPなら特定のポートに関するicmp-port-unreachableパケットを全滅させるルールを追加すれば目的は達成できます。

ここで問題なのは、閉じているポートに来たアクセスへの応答以外の用途でこれらのパケットが使われることはないのか？ということです。他の用途で使われるにもかかわらず全て一律に止めてしまったら副作用が出るかもしれません。

ただ、まずicmp-port-unreachableは、その名の通りポートに到達できないときのエラーメッセージとしてしか使われず、プロトコルもICMPなので、これを止めたところで正当なUDP通信に影響することはありません。TCPのRSTに関しては、ソフトウェアによって送信されることもありますが、それは強制的に接続を切断しなければならないような異常事態が発生したときだけで、通常の接続終了（HTTPでページ読み込みが完了したとかゲームのサーバーからキックするとか）ではFINパケットなどが使われるのでRSTが使えなくても問題ありません。さらに、ポートが閉じている際のRSTパケットにはsequence番号が0であるという特徴がある（sequence番号が0ならポートが閉じているかというとそうとは限らないかもしれないが多分大体はそうっぽい）ので、これを活かしてポートが閉じている際のRSTだけをより限定的に禁止することが可能になります。

ただ、それでも従来のネットワーク環境への影響はできるだけ少なくしたいところです。そこで今回は、外部に公開するための専用のIPアドレスを設けて、そこから出ていくRSTやicmp-port-unreachableを禁止するというやり方でやってみます。

IPアドレスの追加と各種パケットの禁止

ここでは、PCのもともとのIPアドレスが192.168.1.2で、追加するIPアドレスが192.168.1.3であるとします。NIC名はeno1とします。PCの外側にはDROPに設定されたルーター（ポート開放機能あり）があるとします。

まず、以下のようなコマンドでIPアドレスを追加します。

sudo ip addr add 192.168.1.3/24 dev eno1 label eno1:1

再起動すると消えてしまうので、永続化する場合は/etc/network/if-up.dとかに書いてください。IP追加に関して詳しくは筆者の過去記事IPoE/PPPoE併用時（など）に一つの端末から同時に複数の接続経路を利用する - turgenev’s blogや他サイトもご参照ください。

次に、192.168.1.3から出ていくicmp-port-unreachableとTCPのresetを禁止します。TCPポートとしては8000を使うことにします。もちろん、全ポート対象や範囲指定も可能です。

まず、IP(v4)関連ルール追加用にテーブルを新規作成します（正直nftのベストプラクティスがよくわかっていないのですが、既存テーブルへの追加でも構いません）。

sudo nft add table ip my_ip_table 

次に、ここにpostroutingのfilterを設定するためのchainを追加します。

sudo nft add chain ip my_ip_table postrouting_filter "{type filter hook postrouting priority 700; }"

ここでpriorityを700と指定しているのがちょっと重要で、nftablesのルールというのはpriorityの値が小さいものから順に適用されていきます。47.3. nftables テーブル、チェーン、およびルールの作成および管理 Red Hat Enterprise Linux 8 | Red Hat Customer Portalにある通り、デフォルト設定で使われている値は-300から300くらいまでの範囲なので、300より大きい値（700は適当に選びました）を指定しておくことで、このfilterが最後に適用されるようにできます。

ちなみに、ここではpostroutingのhookを使っていますが、outputを使っても似たようなことができます。ただ、outputは少し適用タイミングが早く、パケットが生成されるときに適用されるので、後述のようにSNATをかけた後のパケットも対象にしたい場合は送信直前に適用されるpostroutingを使う必要があります。

そして、実際のルールを設定します。まずTCPです。

sudo nft add rule ip my_ip_table postrouting_filter ip saddr 192.168.1.3 tcp sport 8000 "tcp flags & rst == rst tcp sequence == 0 drop"

tcpポート8000から出ていくパケットのうちrstフラグを持っていて（flags & rstはビット演算）、かつsequenceが0であるものをdropさせています。なお、特にsequence番号での振り分けルールはインターネット上にほとんど例が載っておらず、manページを読まないと書き方がわかりませんでした。構文がいくつかあり、"tcp flags & rst == rst @th,32,32 {0} drop"みたいにth（transport heading）からのビット数で指定する方法でも同じように動きます。iptablesの後に来るものは何か？： nftables - 赤帽エンジニアブログにあるような[payload load 4b @ transport header + 4 => reg 1] [cmp eq reg 1 0x00000000]みたいな構文（バイト数指定なので32ではなく4）もあるようですがこちらは正確な書き方がわからず手元では使えませんでした。

次にUDPです。

sudo nft add rule ip my_ip_table postrouting_filter ip saddr 192.168.1.3 icmp type destination-unreachable icmp code port-unreachable @th,240,16 {8000, 8080} drop

このようにtypeとcodeを用いてパケットの種別を指定した上で、先ほどのようにヘッダからの位置で元のUDP通信のdestination portが載っている部分を指定することで8000と8080ポートに関するport unreachableをdropさせています。この記法はほぼ何でもできてかなり強力ですね。なおICMPの仕様については6.5 ICMP Port Unreachable Error | TCP/IP Illustrated, Vol. 1: The Protocols (Addison-Wesley Professional Computing Series)を参考にしました。また、内側（元のUDP通信）のIPヘッダサイズが20であることを仮定しています。

今回は送信先を限定せずRSTやport-unreachableを一律に禁止したので、効果は自分自身からでも確かめることができます。

$ nmap -p 7999-8001 -sT 192.168.1.3 -Pn
PORT     STATE  SERVICE
7999/tcp closed irdmi2
8000/tcp filtered http-alt
8001/tcp closed vcom-tunnel

このように、192.168.1.3に対してnmapしたときはポート8000だけがfilteredとなっているはずです。192.168.1.2に対して実行したときは全てclosedになることを確かめてください。

同様に、UDPについても、192.168.1.3に対して実行したときは全てopen|filteredになることを確かめてください。（同じく7999-8001を指定していますが、何でも構いません）

$ sudo nmap -p 7999-8001 -sU 192.168.1.3 -Pn
7999/udp open|filtered irdmi2
8000/udp open|filtered irdmi
8001/udp open|filtered vcom-tunnel

これで、TCPの192.168.1.3:8000やUDPの192.168.1.3:*を外部から見えるようにしたとしてもアプリケーションが起動していないときはDROPの動作をするようになります。

自分自身やLAN内からアクセスしたときにDROPさせるかどうかなど、場合によって多少変えるべきところはあるかもしれませんが、基本的にはこれでLinuxの動作をほぼWindowsと同様にできます。

HTTPサーバーで試す

TCPのRSTパケットが正しくフィルタされているか確かめるため、ページ読み込みに5秒かかるHTTPサーバーを用意して実験してみました。サーバーはpythonで書きます。

from http.server import BaseHTTPRequestHandler, HTTPServer
import time

class SimpleHTTPRequestHandler(BaseHTTPRequestHandler):
    def do_GET(self):
        # 5秒遅延
        time.sleep(5)
        # HTTPレスポンスヘッダを送信
        self.send_response(200)
        self.end_headers()
        # レスポンスボディを送信
        self.wfile.write(b'Hello, world!')
# サーバーを設定し、起動
port = 8000
httpd = HTTPServer(('', port), SimpleHTTPRequestHandler)
print(f"Server running on port {port}")
httpd.serve_forever()

そして、tcpdumpでパケットをキャプチャします。

sudo tcpdump -i any tcp port 8000

この状態で、例えばブラウザから192.168.1.3:8000にアクセスし、5秒の読み込み時間の途中でpythonを強制終了すると（sequenceが0でない）RSTパケットが送られているのがわかると思います。一方で、サーバーが起動していない（ポートが閉じている）ときのパケットは先ほどのルールで全てdropされ、tcpdumpには一切表示されません。サーバー停止時は、ブラウザ側ではずっと読み込み中の表示になります。

netcatで試す

こちらの方がより挙動がわかりやすいので追記しました。

netcat（ncコマンド）をTCPモードで使ったとき、接続をサーバー側から終了する（サーバーに対してCtrl+Cを送信する）と、クライアント側ではただちにコマンドが終了することはありませんが、その後にもう一度データを送信すると、サーバー側からRSTが送信され、これによりクライアント側の実行も終了します。このRSTは既存の接続に関連したものであるためsequence番号は0ではありません。（このへんの挙動について詳しくはtcpの仕様上、接続先がコネクションをcloseしているかはパケットを一度は実際に送るまでわからないよという話 #C - Qiitaに載っています）

従って、sequence番号が0のRSTだけDROPさせた場合は、上記の通りクライアント側の実行は終了しますが、その後にもう一度サーバーに接続しようとすると（サーバーは実行されていないので）sequence番号が0のRSTが生成されて、これはDROPされるので何も返ってきません。比較的良い感じの動作といえます。

一方ですべてのRSTをDROPさせてしまうと、サーバー側が終了した後にクライアントでデータを送信しても何も返ってこないためクライアント側の実行がしばらく（CLOSE_WAITのタイムアウトになるまで）終了しません。これはちょっと微妙な動作という気がします。

Tailscaleをうまく動かす

実は、この記事を書いた当初の目的はVPNサービスのTailscaleのために開放しているポートが（Tailscaleの停止時に）closedに見えてしまうのを防止するためでした。ここまでの設定でそれはできたのですが、このままだとTailscaleのUDPによるダイレクト接続がうまく成立しません。なぜなら、Tailscaleはoutgoing IPとしてメインの192.168.1.2のほうのIPを使おうとするため、外からの通信とうまくマッチしなくなってしまうからです。

Tailscaleに限らず、単に受動的にサービスを公開するだけでなく能動的に外部に出ていこうとするようなソフトウェアだと同様の問題が起こる可能性があります。

対処法としては、192.168.1.2と192.168.1.3の間でDNAT/SNATをかけて、外部との通信を全て192.168.1.3経由にしてしまいます。さっき作ったmy_ip_tableの中に、postroutingとprerouting向けのnatタイプのチェインを追加し、それぞれに対してルールを追加します。ここではポート番号としてTailscaleのデフォルトの41641を使用しています。

sudo nft add chain ip my_ip_table postrouting_nat "{type nat hook postrouting priority srcnat;}"
sudo nft add chain ip my_ip_table prerouting_nat "{type nat hook prerouting priority dstnat;}"
sudo nft add rule ip my_ip_table postrouting_nat ip saddr 192.168.1.2 udp sport 41641 snat to 192.168.1.3:41641
sudo nft add rule ip my_ip_table prerouting_nat ip daddr 192.168.1.3 udp dport 41641 dnat to 192.168.1.2:41641

これで、あとはルーター側の41641番ポートを192.168.1.3:41641にマッピングすればTailscaleのポートが公開された状態になります。起動中も停止中も外部からポート番号を推測されることはありません。

なお、192.168.1.2:41641は直接的には使えなくなってしまいますが、LAN内端末との通信でも192.168.1.3:41641を使ってちゃんと接続してくれるようです。問題があれば、snatルールからLAN内（プライベートIP）との通信を除外するなどの方法で対処できるかと思います。

設定結果、永続化など

今まで述べたnftコマンドでの設定内容をまとめて確認するため、sudo nft list rulesetで確認するとmy_ip_tableの内容は以下のようになっていると思います。

table ip my_ip_table {
        chain postrouting_filter {
                type filter hook postrouting priority 700; policy accept;
                ip saddr 192.168.1.3 icmp code port-unreachable drop
                ip saddr 192.168.1.3 tcp sport 8000 tcp flags & rst == rst tcp sequence 0 drop
        }
        chain postrouting_nat {
                type nat hook postrouting priority srcnat; policy accept;
                ip saddr 192.168.1.2 udp sport 41641 snat to 192.168.1.3:41641
        }
        chain prerouting_nat {
                type nat hook prerouting priority dstnat; policy accept;
                ip daddr 192.168.1.3 udp dport 41641 dnat to 192.168.1.2:41641
        }
}

もし意図した通りに動いていない場合はsudo nft list rulesetの結果をこれと見比べてみましょう。

IPアドレスの追加と同様、nftによる設定も再起動後には消えてしまうので永続化する必要があります。

まず、nftablesサービスを有効化します（sudo systemctl enable nftables）。これはシステム起動時にnftablesの設定ファイル（ubuntuなら/etc/nftables.conf）の読み込みを行うOneShotタイプのサービスです（常時稼働のデーモンではない）。その上で、nftables.confに先ほどのmy_ip_tableの内容をそのまま追加します。あるいはincludeを使ってファイルを分けることもできるようです。検索すると、sudo nft list rulesetの結果をそのままnftables.confに書き込むものが多く出てきますが、tailscaleなどによって動的に挿入されたルールなどが混入してしまうため、個人的には元ファイルを直接いじった方がいい気がします。

結論

ファイアウォールの挙動としてDROP vs REJECTのどちらが良いかという論争がありますが、多数派がDROPであること、UDPのサービスを隠蔽できることなどからDROPを選択すべきです。Linuxのファイアウォールには、閉じているポートの動作がDROPにならないというWindowsのファイアウォールにはない欠陥がありますが、これはiptables/nftablesで適切にルールを設定することでおそらく通常使用にほとんど影響を与えずに解決することができます。