なにいってんの？

つまりこういうことです。

このパターンは問題なく通信可能です。

なぜ？

こちらに記載がありました。
preserve_client_ip.enabledをfalseにするとのこと。

https://repost.aws/ja/knowledge-center/target-connection-fails-load-balancer
https://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-troubleshooting.html#loopback-timeout

preserve_client_ip.enabledをtrueの場合、リクエスト送信元のIPを保持するため
送信元と送信先が同一のプライベートIPアドレスになってしまい、
パケットを無効とみなすらしいです。

デフォルト設定は？

このようになっています。

• インスタンスタイプのターゲットグループ: 有効
• IP タイプのターゲットグループ (UDP、TCP_UDP): 有効
• IP タイプのターゲットグループ (TCP、TLS): 無効

タイプinstanceだと通信不可、タイプipだと通信可能
というパターンの場合、疑ったほうがいいかもしれませんね。

その他注意点も記載があるため、使用する際はここを見ます
https://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-target-groups.html#client-ip-preservation

preserve_client_ip.enabledをtrueにすると何が嬉しいの？

• クライアントのオリジナルIP取得が可能
  • ログ分析観点などで有用

preserve_client_ip.enabledをfalseにすると何が嬉しいの？

• クライアントのオリジナルIPを隠すことが出来る
• 今回の問題を解決出来ます。

他にもありそうだな...
https://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/introduction.html

セキュリティグループはどうすればいい？

指針が書かれているので、こちらを参照のこと。
クライアントIPを保持しない場合、NLBのIPを許可しなくてはならない、というような説明があります。
https://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/target-group-register-targets.html#target-security-groups

参考

https://dev.classmethod.jp/articles/pondering-source-ip-address-of-network-load-balancer/

https://zenn.dev/not75743/articles/8820770b6b06ec