さくらのクラウドのドキュメントを見ていたら、NATについての記載があったので、なんとなくメモしておく。 https://knowledge.sakura.ad.jp/7133/
NAT配下のクライアントがWebサーバにアクセスする際、送信元IPアドレスと送信元ポートは、グローバルIPアドレスと任意のハイポートに変換されます(これをNAPTといいます)。
Webサーバはリクエストを受け付け、クライアントにレスポンスを返します。 この場合、宛先IPアドレスと宛先ポートは、さきほどの送信元IPアドレスと送信元ポートになります。 この通信を許可するためにも、3行目・4行目のフィルタリングルールが必要になってきます。 これをステートレスと呼びます。 一方で、リクエストに対してのレスポンスであることを自動認識して通信を許可する仕組みのことをステートフルといいます。