ECS インスタンス上で SSH、SMTP、HTTP などのサービスを実行するには、適切なポートを使用してセキュリティグループルールを設定します。
背景情報
各セキュリティグループルールには、ポートまたはポート範囲を指定する必要があります。セキュリティグループは、許可または拒否ポリシーに基づいて、ECS インスタンスへのトラフィックを転送またはブロックします。
たとえば、Xshell などの SSH クライアントを使用して ECS インスタンスに接続する場合、セキュリティグループは、インバウンドルールでソース IP アドレスが許可されているか、およびポート 22 がオープンされているかをチェックします。一致するルールが存在する場合にのみ、接続は成功します。
一部のキャリアは、ポート 25、135、139、444、445、5800、5900 など高リスクポートをデフォルトでブロックしています。セキュリティグループルールでこれらのポートへのトラフィックを許可していても、影響を受ける地域のユーザーはアクセスできない可能性があります。代わりに、高リスクでないポートをサービスに使用してください。
Windows Server アプリケーションで使用されるポートについては、「Microsoft ドキュメントWindows のサービスの概要とネットワーク ポート要件」をご参照ください。
一般的なポート
以下の表は、一般的なアプリケーションのデフォルトポートを示しています。
|
ポート |
サービス |
説明 |
|
21 |
FTP |
ファイル転送プロトコル (FTP) のポート。ファイルのアップロードおよびダウンロードに使用します。 |
|
22 |
SSH |
PuTTY、Xshell、SecureCRT などのツールを使用して Linux インスタンスに接続するための SSH ポートです。「パスワードを使用して Linux インスタンスに接続する」をご参照ください。 |
|
23 |
Telnet |
ECS インスタンスへのリモートログイン用 Telnet ポートです。 |
|
25 |
SMTP |
メール送信に使用する簡易メール転送プロトコル (SMTP) ポートです。 説明
セキュリティ上の理由により、ECS インスタンスのポート 25 はデフォルトで制限されています。代わりに、SSL 暗号化されたポート 465 を使用してメールを送信してください。 |
|
53 |
DNS |
ドメイン名システム (DNS) ポートです。 説明
セキュリティグループのアウトバウンドルールで許可リストを使用する場合は、名前解決のために UDP ポート 53 のトラフィックを許可してください。 |
|
80 |
HTTP |
IIS、Apache、Nginx などの HTTP サービスです。 ポート 80 の問題をトラブルシューティングするには、「TCP ポート 80 が期待どおりに動作するか確認する」をご参照ください。 |
|
110 |
POP3 |
メール受信に使用する Post Office Protocol 3 (POP3) ポートです。 |
|
143 |
IMAP |
メール受信に使用する Internet Message Access Protocol (IMAP) ポートです。 |
|
443 |
HTTPS |
暗号化通信を提供する HTTPS サービスです。 |
|
1433 |
SQL Server |
SQL Server の外部サービス用 TCP ポートです。 |
|
1434 |
SQL Server |
SQL Server の UDP ポート。SQL Server の TCP/IP ポート番号や IP アドレスなどの情報をクエリするために使用されます。 重要
SQL Server Browser サービスを使用する場合にのみ、UDP ポート 1434 をオープンしてください。それ以外の場合は、このポートをクローズまたは制限してセキュリティを強化してください。 |
|
1521 |
Oracle |
Oracle データベースのデフォルトサービスポートです。 |
|
3306 |
MySQL |
MySQL データベースのデフォルトサービスポートです。 |
|
3389 |
リモートデスクトップサービス |
Windows インスタンスに接続するためのリモートデスクトップサービスポートです。「リモートデスクトップ接続またはアプリを使用して Windows インスタンスに接続する」をご参照ください。 |
|
8080 |
プロキシポート |
ポート 80 と同様に、ポート 8080 はよく |
|
137、138、139 |
NetBIOS プロトコル |
Windows のファイルおよびプリンターシェアリング、Samba に使用される NetBIOS プロトコルです。
|
|
5432 |
PostgreSQL |
PostgreSQL データベースのデフォルトサービスポートです。 |
|
6379 |
Redis |
Redis データベースのデフォルトサービスポートです。 |
ユースケース
以下の表は、一般的なユースケースにおけるセキュリティグループルールの設定例を示しています。その他の例については、「セキュリティグループの適用ガイドとユースケース」をご参照ください。
|
ユースケース |
ネットワークタイプ |
方向 |
ポリシー |
プロトコル |
ポート範囲 |
オブジェクトタイプ |
認可オブジェクト |
優先度 |
|
SSH 経由で Linux インスタンスに接続する |
VPC |
インバウンド |
許可 |
カスタム TCP |
SSH (22) |
CIDR ブロック |
0.0.0.0/0 |
1 |
|
RDP 経由で Windows インスタンスに接続する |
VPC |
インバウンド |
許可 |
カスタム TCP |
RDP (3389) |
CIDR ブロック |
0.0.0.0/0 |
1 |
|
インターネット経由で ECS インスタンスに PING を実行する |
VPC |
インバウンド |
許可 |
すべての ICMP |
-1/-1 |
CIDR ブロックまたはセキュリティグループ |
オブジェクトタイプによって異なります。 |
1 |
|
ECS インスタンスを Web サーバーとして使用する |
VPC |
インバウンド |
許可 |
カスタム TCP |
HTTP (80) |
CIDR ブロック |
0.0.0.0/0 |
1 |
|
FTP 経由でファイルをアップロードまたはダウンロードする |
VPC |
インバウンド |
許可 |
カスタム TCP |
20/21 |
CIDR ブロック |
指定された IP アドレス範囲 |
1 |