サーバー上でホストされているアプリケーションは、サーバーのポートを使用して外部からサービスを提供します。 一般的なアプリケーションで使用されるデフォルトのポートを理解していれば、より正確な方法でセキュリティグループルールを追加または変更できます。 このトピックでは、Elastic Compute Service (ECS) インスタンスの共通ポートと、ポートの使用シナリオについて説明します。
背景情報
セキュリティグループルールをセキュリティグループに追加するときは、通信ポートまたはポート範囲を指定する必要があります。 次に、セキュリティグループは、セキュリティグループルールに基づいてECSインスタンスとの間のトラフィックを許可または拒否します。 たとえば、Xshellクライアントを使用してセキュリティグループ内のLinuxインスタンスに接続すると、セキュリティグループはインターネットまたは内部ネットワークからのSSH要求を検出します。 次に、セキュリティグループは、要求を各インバウンドルールと照合して、ルールが要求送信者のIPアドレスを含むかどうか、およびポート22が開いているかどうかをチェックします。 リクエストを許可するインバウンドルールが一致するまで、インスタンスへの接続は確立されません。
Windows Serverオペレーティングシステムのアプリケーションで使用されるポートの詳細については、Microsoftドキュメントの「Windowsのサービスの概要とネットワークポートの要件」を参照してください。
共通ポート
次の表に、一般的なアプリケーションで使用されるデフォルトポートを示します。
ポート | サービス | 説明 |
21 | FTP | FTPポート。 ファイルのアップロードとダウンロードに使用されます。 |
22 | SSH | SSH ポート CLIツール、またはPuTTY、Xshell、SecureCRTなどのリモート接続ソフトウェアを使用して、Linux ECSインスタンスにログインするために使用されます。 詳細については、「パスワードを使用したLinuxインスタンスへの接続」をご参照ください。 |
23 | Telnet | Telnetポート。 ECSインスタンスへのログインに使用されます。 |
25 | SMTP | 簡易メール転送プロトコル (SMTP) ポート。 メールの送信に使用されます。 セキュリティ上の理由から、ECSインスタンスのポート25はデフォルトで無効になっています。 メールの送信には、代わりにSSLポートを使用することを推奨します。 ほとんどの場合、SSLポートはポート465です。 |
53 | DNS | ドメインネームサーバー (DNS) ポート。 セキュリティグループがデフォルトですべてのアウトバウンドアクセスを拒否し、セキュリティグループルールに基づいて特定のアウトバウンドアクセスを許可する場合、ドメイン名解決を実装するためにアウトバウンドトラフィックのデフォルトUDPポート53を開くセキュリティグループルールを追加する必要があります。 |
80 | HTTP | HTTPポート。 IIS、Apache、NGINXなどのサービスにアクセスするために使用されます。 ポート80に関連する問題のトラブルシューティング方法の詳細については、「TCPポート80が正しく機能するかどうかを確認する」をご参照ください。 |
110 | POP3 | POP3ポート。 メールの送受信に使用されます。 |
143 | IMAP | Internet Message Access Protocol (IMAP) ポート。 メールの受信に使用されます。 |
443 | HTTPS | HTTPSポート。 サービスへのアクセスに使用されます。 HTTPSプロトコルは、暗号化された安全なデータ送信を実装できます。 |
1433 | SQL Server | SQL ServerのTCPポート。 SQL Serverが外部サービスを提供するために使用されます。 |
1434 | SQL Server | SQL ServerのUDPポート。 SQL Serverによって占有されているTCP/IPポートを返すために使用されます。 |
1521 | Oracle | Oracleの通信ポート。 Oracle SQLを実行するECSインスタンスは、このポートを開いている必要があります。 |
3306 | MySQL | MySQLポート。 MySQLが外部サービスを提供するために使用されます。 |
3389 | Windows Server Remote Desktop Services | Windows Serverリモートデスクトップサービスポート。 Windows ECSインスタンスへのログインに使用されます。 詳細については、「ユーザー名とパスワードを使用したWindowsインスタンスへの接続」をご参照ください。 |
8080 | プロキシサービス | ポート80に代わるもの。 これは、WWWプロキシサービスに一般的に使用される。 ポート8080を使用する場合は、Webサイトにアクセスするとき、またはプロキシサーバーを使用するときに、IPアドレスの末尾に :8080 を追加する必要があります。 Apache Tomcatサービスをインストールすると、デフォルトでポート8080が使用されます。 |
137、138、139 | NetBIOS |
|
使用シナリオ
次の表に、ECSインスタンスで使用される特定の共通ポートの使用シナリオと、そのシナリオで使用されるセキュリティグループルールの例を示します。 詳細な使用シナリオについては、「異なるユースケースのセキュリティグループ」をご参照ください。
使用シナリオ | ネットワークタイプ | 方向 | Action | プロトコル | ポート範囲 | 権限付与タイプ | 権限付与オブジェクト | 優先度 |
SSH経由でLinux ECSインスタンスに接続する | Virtual Private Cloud (VPC) | インバウンド | 許可 | カスタマイズTCP | SSH (22) | IPv4 CIDR block | 0.0.0.0/0 | 1 |
クラシックネットワーク | インターネットの入口 | |||||||
リモートデスクトッププロトコル (RDP) を介したWindows ECSインスタンスへの接続 | VPC | インバウンド | 許可 | カスタマイズTCP | RDP (3389) | IPv4 CIDR block | 0.0.0.0/0 | 1 |
クラシックネットワーク | インターネットの入口 | |||||||
インターネット経由でのECSインスタンスのPing | VPC | インバウンド | 許可 | すべての ICMP | -1/-1 | CIDRブロックまたはセキュリティグループ | 権限付与タイプの対象 | 1 |
クラシックネットワーク | インターネットの入口 | |||||||
ECSインスタンスをwebサーバーとして使用する | VPC | インバウンド | 許可 | カスタマイズTCP | HTTP (80) | IPv4 CIDR block | 0.0.0.0/0 | 1 |
クラシックネットワーク | インターネットの入口 | |||||||
FTP経由でファイルをアップロードおよびダウンロード | VPC | インバウンド | 許可 | カスタマイズTCP | 20/21 | CIDRブロック | 指定されたCIDRブロック | 1 |
クラシックネットワーク | インターネットの入口 |