Elastic Compute Service (ECS) インスタンスで一般的に使用されるポートに精通している場合は、より正確な方法でネットワークアクセス制御リスト (ACL) ルールを追加できます。 このトピックでは、ECSインスタンスで一般的に使用されるポートと、ポートのユースケースについて説明します。
ポート数
次の表に、ポートとこれらのポートを使用するサービスを示します。
ポート | サービス | 説明 |
21 | FTP | FTPポート。 ファイルのアップロードとダウンロードに使用されます。 |
22 | SSH | SSH ポート ユーザー名とパスワードのペアを使用して、コマンドライン方式でLinuxインスタンスにログインするために使用されます。 |
23 | Telnet | Telnetポート。 ECSインスタンスへのログインに使用されます。 |
25 | SMTP | SMTPポート。 メールの送信に使用されます。 |
80 | HTTP | HTTPポート。 IIS、Apache、NGINXなどのサービスにアクセスするために使用されます。 |
110 | POP3 | POP3ポート。 メールの受信に使用されます。 |
143 | IMAP | Internet Message Access Protocol (IMAP) ポート。 メールの受信に使用されます。 |
443 | HTTPS | HTTPSポート。 サービスへのアクセスに使用されます。 HTTPSプロトコルは、暗号化された安全なデータ送信を実装できます。 |
1433 | SQL Server | SQL ServerのTCPポート。 SQL Serverが外部サービスを提供するために使用されます。 |
1434 | SQL Server | SQL ServerのUDPポート。 SQL Serverによって占有されているTCP/IPポートを返すために使用されます。 |
1521 | Oracle | Oracleの通信ポート。 Oracle SQLを実行するECSインスタンスは、このポートを有効にする必要があります。 |
3306 | MySQL | MySQLポート。 MySQLデータベースが外部サービスを提供するために使用されます。 |
3389 | Windows Server Remote Desktop Services | Windows Serverリモートデスクトップサービスポート。 Windowsインスタンスへのログインに使用されます。 |
8080 | Proxy port | ポート80に代わるもの。 これは、WWWプロキシサービスに一般的に使用される。 |
カスタムネットワークACLルール
インバウンドルールとアウトバウンドルールは、IPv4アドレスのみをサポートするVPCのネットワークACLの例を示しています。
有効な順序1、2、3、および4のインバウンドルールは、それぞれvSwitchへのHTTP、HTTPS、SSH、およびRDPトラフィックを許可します。 アウトバウンド応答ルールは、有効順序3のルールです。
有効順序1および2のアウトバウンドルールは、それぞれvSwitchからのHTTPおよびHTTPSトラフィックを許可します。 アウトバウンド応答ルールは、有効な順序である5。
有効順序6のインバウンドルールは、すべてのインバウンドIPv4トラフィックを拒否します。 このルールは、他のルールと一致しないパケットが拒否されることを保証する。
有効順序4のアウトバウンドルールは、すべてのアウトバウンドIPv4トラフィックを拒否します。 このルールは、他のルールと一致しないパケットが拒否されることを保証する。
インバウンドルールまたはアウトバウンドルールは、レスポンストラフィックを許可するインバウンドルールまたはアウトバウンドルールに対応する必要があります。
表 1. 受信ルール
効果的な注文 | プロトコル | 送信元IPアドレス | ポート範囲 | Action | 説明 |
1 | tcp | 0.0.0.0/0 | 80/80 | 許可 | IPv4アドレスからのHTTPトラフィックを許可します。 |
2 | tcp | 0.0.0.0/0 | 443/443 | 許可 | IPv4アドレスからのHTTPSトラフィックを許可します。 |
3 | tcp | 0.0.0.0/0 | 22/22 | 許可 | IPv4アドレスからのSSHトラフィックを許可します。 |
4 | tcp | 0.0.0.0/0 | 3389/3389 | 許可 | IPv4アドレスからのRDPトラフィックを許可します。 |
5 | tcp | 0.0.0.0/0 | 32768/65535 | 許可 | IPv4アドレスから65535に32768ポートへのTCPトラフィックを許可します。 このポート範囲は参照用です。 適切なエフェメラルポートを選択する方法の詳細については、「エフェメラルポート」をご参照ください。 |
6 | all | 0.0.0.0/0 | -1/-1 | 拒否 | すべての受信IPv4トラフィックを拒否します。 |
表 2. アウトバウンドルール
効果的な注文 | プロトコル | 宛先IPアドレス | ポート範囲 | Action | 説明 |
1 | tcp | 0.0.0.0/0 | 80/80 | 許可 | vSwitchからインターネットへの送信IPv4 HTTPトラフィックを許可します。 |
2 | tcp | 0.0.0.0/0 | 443/443 | 許可 | vSwitchからインターネットへの送信IPv4 HTTPSトラフィックを許可します。 |
3 | tcp | 0.0.0.0/0 | 32768/65535 | 許可 | vSwitchからインターネットへの送信IPv4トラフィックを許可します。 このポート範囲は参照用です。 適切なエフェメラルポートを選択する方法の詳細については、「エフェメラルポート」をご参照ください。 |
4 | all | 0.0.0.0/0 | -1/-1 | 拒否 | すべての送信IPv4トラフィックを拒否します。 |
SLBのネットワークACLルール
vSwitchのECSインスタンスがSLBインスタンスのバックエンドサーバーとして機能する場合、次のネットワークACLルールを追加する必要があります。
受信ルール
効果的な注文
プロトコル
送信元IPアドレス
ポート範囲
Action
説明
1
SLBリスニングプロトコル
SLBインスタンスへのアクセスを許可されたクライアントIPアドレス
SLBリスニングポート
許可
指定したクライアントIPアドレスからのインバウンドトラフィックを許可します。
2
ヘルスチェックプロトコル
100.64.0.0/10
ヘルスチェックポート
許可
ヘルスチェックIPアドレスからのインバウンドトラフィックを許可します。
アウトバウンドルール
効果的な注文
プロトコル
宛先IPアドレス
ポート範囲
Action
説明
1
all
SLBインスタンスへのアクセスを許可されたクライアントIPアドレス
-1/-1
許可
指定したクライアントIPアドレスへのすべてのアウトバウンドトラフィックを許可します。
2
all
100.64.0.0/10
-1/-1
許可
ヘルスチェックIPアドレスへのアウトバウンドトラフィックを許可します。
エフェメラルポート
クライアントは異なるポートを使用して要求を開始します。 クライアントタイプに基づいて、ネットワークACLルールに異なるポート範囲を選択できます。 次の表に、共通クライアントの一時的なポート範囲を示します。
クライアント | ポート範囲 |
Linux | 32768/61000 |
Windows Server 2003 | 1025/5000 |
Windows Server 2008以降 | 49152/65535 |
NATゲートウェイ | 1024/65535 |