Elastic Compute Service (ECS) インスタンスで一般的に使用されるポートがわかっている場合は、より正確な方法でネットワークアクセス制御リスト (ACL) ルールを追加できます。 このトピックでは、ECSインスタンスで一般的に使用されるポートと、これらのポートのシナリオについて説明します。
ポート
次の表に、ポートとこれらのポートを使用するサービスを示します。
| ポート | サービス | 説明 |
| 21 | FTP | FTPポート。 ファイルのアップロードとダウンロードに使用されます。 |
| 22 | SSH | SSH ポート ユーザー名とパスワードのペアを使用して、コマンドライン方式でLinuxインスタンスにログインするために使用されます。 |
| 23 | Telnet | Telnetポート。 ECSインスタンスへのログインに使用されます。 |
| 25 | SMTP | SMTPポート。 メールの送信に使用されます。 |
| 80 | HTTP | HTTPポート。 IIS、Apache、NGINXなどのサービスにアクセスするために使用されます。 |
| 110 | POP3 | POP3ポート。 メールの受信に使用されます。 |
| 143 | IMAP | Internet Message Access Protocol (IMAP) ポート。 メールの受信に使用されます。 |
| 443 | HTTPS | HTTPSポート。 サービスへのアクセスに使用されます。 HTTPSプロトコルは、暗号化された安全なデータ送信を実装できます。 |
| 1433 | SQL Server | SQL ServerのTCPポート。 SQL Serverが外部サービスを提供するために使用されます。 |
| 1434 | SQL Server | SQL ServerのUDPポート。 SQL Serverによって占有されているTCP/IPポートを返すために使用されます。 |
| 1521 | Oracle | Oracleの通信ポート。 Oracle SQLを実行するECSインスタンスは、このポートを有効にする必要があります。 |
| 3306 | MySQL | MySQLポート。 MySQLデータベースが外部サービスを提供するために使用されます。 |
| 3389 | Windows Server Remote Desktop Services | Windows Serverリモートデスクトップサービスポート。 Windowsインスタンスへのログオンに使用されます。 |
| 8080 | Proxy port | ポート80に代わるもの。 これは、WWWプロキシサービスに一般的に使用される。 |
カスタムネットワークACLルール
インバウンドルールとアウトバウンドルールは、IPv4アドレスのみをサポートするVPCのネットワークACLの例を示しています。
- 有効な順序1、2、3、および4のインバウンドルールは、それぞれvSwitchへのHTTP、HTTPS、SSH、およびRDPトラフィックを許可します。 アウトバウンド応答ルールは、有効順序3のルールです。
- 有効順序1および2のアウトバウンドルールは、それぞれvSwitchからのHTTPおよびHTTPSトラフィックを許可します。 アウトバウンド応答ルールは、有効な順序である5。
- 有効順序6のインバウンドルールは、すべてのインバウンドIPv4トラフィックを拒否します。 このルールは、他のルールと一致しないパケットが拒否されることを保証する。
- 有効順序4のアウトバウンドルールは、すべてのアウトバウンドIPv4トラフィックを拒否します。 このルールは、他のルールと一致しないパケットが拒否されることを保証する。
説明 インバウンドルールまたはアウトバウンドルールは、レスポンストラフィックを許可するインバウンドルールまたはアウトバウンドルールに対応する必要があります。
| 効果的な注文 | プロトコル | 送信元IPアドレス | 宛先ポート範囲 | Action | 説明 |
| 1 | tcp | 0.0.0.0/0 | 80/80 | 許可 | IPv4アドレスからのHTTPトラフィックを許可します。 |
| 2 | tcp | 0.0.0.0/0 | 443/443 | 許可 | IPv4アドレスからのHTTPSトラフィックを許可します。 |
| 3 | tcp | 0.0.0.0/0 | 22/22 | 許可 | IPv4アドレスからのSSHトラフィックを許可します。 |
| 4 | tcp | 0.0.0.0/0 | 3389/3389 | 許可 | IPv4アドレスからのRDPトラフィックを許可します。 |
| 5 | tcp | 0.0.0.0/0 | 32768/65535 | 許可 | IPv4アドレスから65535に32768ポートへのTCPトラフィックを許可します。 このポート範囲は参照用です。 適切なエフェメラルポートを選択する方法の詳細については、「エフェメラルポート」をご参照ください。 |
| 6 | all | 0.0.0.0/0 | -1/-1 | 拒否 | すべての受信IPv4トラフィックを拒否します。 |
| 効果的な注文 | プロトコル | 宛先IPアドレス | 宛先ポート範囲 | Action | 説明 |
| 1 | tcp | 0.0.0.0/0 | 80/80 | 許可 | vSwitchからインターネットへの送信IPv4 HTTPトラフィックを許可します。 |
| 2 | tcp | 0.0.0.0/0 | 443/443 | 許可 | vSwitchからインターネットへの送信IPv4 HTTPSトラフィックを許可します。 |
| 3 | tcp | 0.0.0.0/0 | 32768/65535 | 許可 | vSwitchからインターネットへの送信IPv4トラフィックを許可します。 このポート範囲は参照用です。 適切なエフェメラルポートを選択する方法の詳細については、「エフェメラルポート」をご参照ください。 |
| 4 | all | 0.0.0.0/0 | -1/-1 | 拒否 | すべての送信IPv4トラフィックを拒否します。 |
SLBのネットワークACLルール
vSwitchのECSインスタンスがSLBインスタンスのバックエンドサーバーとして機能する場合、次のネットワークACLルールを追加する必要があります。
- 受信ルール
効果的な注文 プロトコル 送信元IPアドレス 宛先ポート範囲 Action 説明 1 SLBリスニングプロトコル SLBインスタンスへのアクセスを許可されたクライアントIPアドレス SLBリスニングポート 許可 指定したクライアントIPアドレスからのインバウンドトラフィックを許可します。 2 ヘルスチェックプロトコル 100.64.0.0/10 ヘルスチェックポート 許可 ヘルスチェックIPアドレスからのインバウンドトラフィックを許可します。 - アウトバウンドルール
効果的な注文 プロトコル 宛先IPアドレス 宛先ポート範囲 Action 説明 1 all SLBインスタンスへのアクセスを許可されたクライアントIPアドレス -1/-1 許可 指定したクライアントIPアドレスへのすべてのアウトバウンドトラフィックを許可します。 2 all 100.64.0.0/10 -1/-1 許可 ヘルスチェックIPアドレスへのアウトバウンドトラフィックを許可します。
エフェメラルポート
クライアントは異なるポートを使用して要求を開始します。 クライアントタイプに基づいて、ネットワークACLルールに異なるポート範囲を選択できます。 次の表に、共通クライアントの一時的なポート範囲を示します。
| クライアント | ポート範囲 |
| Linux | 32768/61000 |
| Windows Server 2003 | 1025/5000 |
| Windows Server 2008以降 | 49152/65535 |
| NATゲートウェイ | 1024/65535 |