一般的なアプリケーションのデフォルトポートを理解することは、セキュリティグループルールを正確に設定するのに役立ちます。これらのルールにより、サーバーは SSH 接続や SMTP メールなどのサービスを正しいポートで提供できます。このトピックでは、ECS インスタンスの一般的なポートについて説明し、ユースケース例を示します。
背景情報
セキュリティグループルールを追加する際には、ポートまたはポート範囲を指定する必要があります。セキュリティグループは、許可または拒否のポリシーに基づいて、ECS インスタンスにデータを転送するかどうかを決定します。
たとえば、Xshell などの SSH クライアントを使用して ECS インスタンスにリモート接続する場合、セキュリティグループはパブリックネットワークまたは内部ネットワークからの SSH リクエストを検出します。次に、セキュリティグループは、リクエストのソース IP アドレスがインバウンドルールで許可されているか、およびポート 22 が開いているかを確認します。セキュリティグループは、ルールがリクエストに一致する場合にのみ接続を許可します。
一部の通信キャリアは、ポート 25、135、139、444、445、5800、5900 などを高リスクポートとしてマークし、デフォルトでブロックします。セキュリティグループルールでこれらのポートのトラフィックを許可しても、影響を受けるリージョンのユーザーはアクセスできない場合があります。したがって、サービスは他の高リスクでないポートで実行することを推奨します。
Windows Server システムアプリケーションで使用されるポートの詳細については、Microsoft ドキュメントWindows のサービスの概要とネットワーク ポートの要件をご参照ください。
一般的なポート
次の表に、一般的なアプリケーションのデフォルトポートを示します。
ポート | サービス | 説明 |
21 | FTP | ファイルのアップロードとダウンロードに使用されるファイル転送プロトコル (FTP) ポートです。 |
22 | SSH | SSH ポートです。コマンドラインツールや PuTTY、Xshell、SecureCRT などのリモート接続ソフトウェアを使用して Linux インスタンスに接続するために使用されます。具体的な手順については、「パスワードを使用して Linux インスタンスに接続」をご参照ください。 |
23 | Telnet | Telnet ポートです。ECS インスタンスにリモートでログインするために使用されます。 |
25 | SMTP | メール送信に使用される簡易メール転送プロトコル (SMTP) ポートです。 説明 セキュリティ上の理由から、ECS インスタンスのポート 25 はデフォルトで制限されています。メールの送信には、SSL で暗号化されたポート (通常はポート 465) を使用することを推奨します。 |
53 | DNS | ドメインネームシステム (DNS) のポートです。 説明 セキュリティグループのアウトバウンドルールで許可リストを使用する場合、名前解決が機能するためには UDP ポート 53 のトラフィックを許可する必要があります。 |
80 | HTTP | IIS、Apache、Nginx などの HTTP サービスに使用されます。 ポート 80 の問題のトラブルシューティング方法については、「TCP ポート 80 が期待どおりに機能するかどうかの確認」をご参照ください。 |
110 | POP3 | メール受信のための Post Office Protocol 3 (POP3) に使用されます。 |
143 | IMAP | メール受信のための Internet Message Access Protocol (IMAP) に使用されます。 |
443 | HTTPS | HTTPS サービスに使用され、セキュアなポートを介して暗号化された通信を提供します。 |
1433 | SQL Server | SQL Server の TCP ポートで、外部サービスを提供するために使用されます。 |
1434 | SQL Server | SQL Server の UDP ポートで、SQL Server が使用する TCP/IP ポート番号や IP アドレスなどの情報を取得するために使用されます。 重要 UDP ポート 1434 を開く必要があるのは、SQL Server Browser サービスを使用する場合のみです。このサービスを使用しない場合は、セキュリティを向上させるために、このポートを閉じるか、アクセスを制限することを推奨します。 |
1521 | Oracle | Oracle データベースのデフォルトのサービスポートです。 |
3306 | MySQL | MySQL データベースのデフォルトのサービスポートです。 |
3389 | リモートデスクトップサービス | リモートデスクトップサービスのポートで、Windows インスタンスへの接続に使用されます。詳細については、「リモートデスクトップ接続またはアプリを使用して Windows インスタンスに接続」をご参照ください。 |
8080 | プロキシポート | ポート 80 と同様に、ポート 8080 は |
137, 138, 139 | NetBIOS プロトコル | NetBIOS プロトコルは、Windows のファイルやプリンターの共有、および Samba でよく使用されます。
|
5432 | PostgreSQL | PostgreSQL データベースのデフォルトのサービスポートです。 |
6379 | Redis | Redis データベースのデフォルトのサービスポートです。 |
ユースケース例
次の表に、一般的なユースケースにおけるセキュリティグループルールの設定例を示します。その他の例については、「セキュリティグループのアプリケーションガイドとケース」をご参照ください。
ユースケース | ネットワークタイプ | 方向 | ポリシー | プロトコル | ポート範囲 | オブジェクトタイプ | 許可オブジェクト | 優先度 |
SSH で Linux インスタンスに接続 | Virtual Private Cloud (VPC) | インバウンド | 許可 | カスタム TCP | SSH (22) | CIDR ブロック | 0.0.0.0/0 | 1 |
RDP で Windows インスタンスに接続 | Virtual Private Cloud (VPC) | インバウンド | 許可 | カスタム TCP | RDP (3389) | CIDR ブロック | 0.0.0.0/0 | 1 |
パブリックネットワークから ECS インスタンスに PING を実行 | Virtual Private Cloud (VPC) | インバウンド | 許可 | すべての ICMP | -1/-1 | CIDR ブロックまたはセキュリティグループ | 選択したオブジェクトタイプによって異なります。 | 1 |
ECS インスタンスを Web サーバーとして使用 | Virtual Private Cloud (VPC) | インバウンド | 許可 | カスタム TCP | HTTP (80) | CIDR ブロック | 0.0.0.0/0 | 1 |
FTP でファイルをアップロードまたはダウンロード | Virtual Private Cloud (VPC) | インバウンド | 許可 | カスタム TCP | 20/21 | CIDR ブロック | 指定された IP アドレス範囲 | 1 |