一般的なアプリケーションのデフォルトポートを理解することで、セキュリティグループルールを正確に追加または変更できるようになります。これにより、SSH 経由で Elastic Compute Service (ECS) インスタンスに接続したり、SMTP サービスを使用してメールを送信したりするなどのシナリオで、サーバーが必要なポートを介してサービスを提供できるようになります。このトピックでは、ECS インスタンスの一般的なポートについて説明し、シナリオ例を示します。
背景情報
セキュリティグループルールを追加する際は、ポートまたはポート範囲を指定する必要があります。セキュリティグループは、ルールの許可または拒否ポリシーを使用して、ECS インスタンスにトラフィックを転送するかどうかを決定します。
たとえば、Xshell クライアントを使用して ECS インスタンスにリモート接続する場合、セキュリティグループはインターネットまたはプライベートネットワークからの SSH リクエストを検出します。次に、セキュリティグループは、リクエスト元のデバイスの IP アドレスからのポート 22 でのアクセスを許可するインバウンドルールがあるかどうかを確認します。一致するセキュリティグループルールがリクエストを許可する場合にのみ、データ接続が確立されます。
一部のキャリアは、ポート 25、135、139、444、445、5800、5900 を脆弱なポートとしてマークし、デフォルトでブロックします。セキュリティグループルールでこれらのポートを許可しても、特定のリージョンのユーザーはアクセスできません。そのため、ご利用のサービスには、脆弱性のない他のポートを使用することを推奨します。
Windows Server 上のアプリケーションのポートに関する詳細については、Microsoft ドキュメントの「Windows のサービスの概要とネットワーク ポートの要件」をご参照ください。
共通ポート
次の表に、一般的なアプリケーションのデフォルトポートを示します。
ポート | サービス | 説明 |
21 | FTP | FTP サービス用に開かれるポートです。ファイルのアップロードとダウンロードに使用されます。 |
22 | SSH | SSH ポートです。コマンドライン、または PuTTY、Xshell、SecureCRT などのリモート接続ソフトウェアを使用して Linux インスタンスに接続するために使用されます。詳細については、「パスワードを使用した Linux インスタンスへの接続」をご参照ください。 |
23 | Telnet | Telnet ポートです。Telnet を使用して ECS インスタンスにリモートログインするために使用されます。 |
25 | SMTP | SMTP サービス用に開かれるポートです。メールの送信に使用されます。 説明 セキュリティ上の理由から、ECS インスタンスのポート 25 はデフォルトで制限されています。メールを送信するには、通常はポート 465 である Secure Sockets Layer (SSL) 暗号化ポートを使用してください。 |
53 | DNS | Domain Name System (DNS) プロトコルに使用されます。 説明 セキュリティグループでアウトバウンドトラフィックにホワイトリストを使用する場合、名前解決を有効にするには UDP ポート 53 でのトラフィックを許可する必要があります。 |
80 | HTTP | IIS、Apache、Nginx などの HTTP サービスへのアクセスを提供するために使用されます。 ポート 80 の障害をトラブルシューティングするには、「TCP ポート 80 が期待どおりに機能するかどうかの確認」をご参照ください。 |
110 | POP3 | POP3 プロトコルに使用されます。POP3 はメールを送受信するためのプロトコルです。 |
143 | IMAP | Internet Message Access Protocol (IMAP) に使用されます。IMAP はメールを受信するためのプロトコルです。 |
443 | HTTPS | HTTPS サービスへのアクセスを提供するために使用されます。HTTPS は、暗号化と安全なデータ転送を提供するプロトコルです。 |
1433 | SQL Server | SQL Server の TCP ポートです。SQL Server が外部サービスを提供するために使用されます。 |
1434 | SQL Server | SQL Server の UDP ポートです。SQL Server が使用する TCP/IP ポート番号や IP アドレスなどの情報を取得するために使用されます。 重要 UDP ポート 1434 は、SQL Server Browser サービスが必要な場合にのみ開いてください。SQL Server Browser サービスを使用しない場合は、セキュリティを向上させるために UDP ポート 1434 を閉じるか、アクセスを制限してください。 |
1521 | Oracle | Oracle データベースのデフォルトのサービスポートです。 |
3306 | MySQL | MySQL データベースのデフォルトのサービスポートです。 |
3389 | Windows Server リモートデスクトップサービス | Windows Server リモートデスクトップサービス用のポートです。このポートを使用して Windows インスタンスに接続できます。詳細については、「リモートデスクトップまたは Windows アプリを使用して Windows インスタンスに接続する」をご参照ください。 |
8080 | プロキシポート | ポート 80 と同様に、ポート 8080 は通常、Web ブラウジング用の |
137, 138, 139 | NetBIOS プロトコル | NetBIOS プロトコルは、Windows のファイル共有やプリンター共有、および Samba でよく使用されます。
|
5432 | PostgreSQL | PostgreSQL データベースのデフォルトのサービスポートです。 |
6379 | Redis | Redis データベースのデフォルトのサービスポートです。 |
シナリオ例
次の表に、いくつかの一般的なポートのシナリオ例と、対応するセキュリティグループルールの設定を示します。その他の例については、「セキュリティグループの適用ガイダンスと例」をご参照ください。
シナリオ | ネットワークタイプ | 方向 | ポリシー | プロトコル | ポート範囲 | オブジェクトタイプ | 承認オブジェクト | 優先度 |
SSH 経由で Linux インスタンスにリモート接続する | 仮想プライベートクラウド (VPC) | インバウンド | 許可 | カスタム TCP | SSH (22) | CIDR ブロックアクセス | 0.0.0.0/0 | 1 |
クラシックネットワーク | インターネットインバウンド | |||||||
RDP 経由で Windows インスタンスにリモート接続する | Virtual Private Cloud (VPC) | インバウンド | 許可 | カスタム TCP | RDP (3389) | CIDR ブロックアクセス | 0.0.0.0/0 | 1 |
クラシックネットワーク | インターネットインバウンド | |||||||
インターネットから ECS インスタンスに ping を実行する | Virtual Private Cloud (VPC) | インバウンド | 許可 | すべての ICMP | -1/-1 | CIDR ブロックアクセスまたはセキュリティグループアクセス | 権限付与タイプによって異なります | 1 |
クラシックネットワーク | インターネットインバウンド | |||||||
ECS インスタンスを Web サーバーとして使用する | Virtual Private Cloud (VPC) | インバウンド | 許可 | カスタム TCP | HTTP (80) | CIDR ブロックアクセス | 0.0.0.0/0 | 1 |
クラシックネットワーク | インターネットインバウンド | |||||||
FTP を使用してファイルをアップロードまたはダウンロードする | Virtual Private Cloud (VPC) | インバウンド | 許可 | カスタム TCP | 20/21 | CIDR ブロックアクセス | 指定された IP アドレス範囲 | 1 |
クラシックネットワーク | インターネットインバウンド |