Fortinet商品など
ファイアウォールのポート開放の確認について
ファイアウォールのポート開放確認は、「設定を見たら終わり」ではありません。
実務では 設定は正しいのに通信できない、あるいは 一部の環境だけ接続できない といったケースが頻発します。
その原因の多くは、
- 確認順序が間違っている
- 「到達していない」のか「拒否されている」のかを混同している
- OS・ルーター・クラウドなど複数レイヤの存在を見落としている
といった 切り分け不足 にあります。
本記事では、ポート開放確認を「考え方 → 設定確認 → 通信確認 → 切り分け」の順で、誤解が起きにくい形に整理して解説します。
ポート開放確認とは何を確認する作業か
ポート開放の確認とは、単に「ファイアウォールで許可されているか」を見ることではありません。
最低限、次の 2点が同時に満たされている必要があります。
- ファイアウォール(OS・機器・クラウド)で該当ポートが許可されている
- 該当ポートでアプリケーションが待ち受け(LISTEN)している
どちらか一方が欠けていると、通信は成立しません。
さらに実務では、以下のような 追加レイヤ も確認対象になります。
- ルーターやUTMによるNAT・ポートフォワーディング
- クラウド環境のセキュリティグループ/ネットワークACL
- IPv4 / IPv6 の違い
確認前に必ず整理すべき4項目
調査を始める前に、以下を明確にしてください。
| 項目 | 内容 |
|---|---|
| ポート番号 | 例:80 / 443 / 22 / 3306 |
| プロトコル | TCP か UDP |
| 通信方向 | 外部→内部(Inbound)か 内部→外部(Outbound) |
| 接続元 | 同一LAN / 社内 / インターネット |
特に Inbound と Outbound の混同 は非常に多く、確認対象を誤る原因になります。
まず最優先:サービスが待ち受けているか確認する
ファイアウォール以前に、アプリケーションが起動していなければ通信はできません。
Linux
sudo ss -lntp # TCP
sudo ss -lnup # UDP
Windows
netstat -ano
LISTEN状態になっているか- 期待しているポート番号か
- 特定IPのみで待ち受けていないか(0.0.0.0 / :: か)
ここで問題があれば、ファイアウォールを見ても意味がありません。
OSレベルのファイアウォール設定を確認する
Windows Defender ファイアウォール(推奨方法)
GUI確認も可能ですが、実務では PowerShell のほうが正確です。
Get-NetFirewallRule -Direction Inbound -Enabled True |
Get-NetFirewallPortFilter |
Where-Object {
$_.LocalPort -eq "80" -and $_.Protocol -eq "TCP"
}
併せて以下も確認します。
- 受信(Inbound)ルールか
- 有効(Enabled)になっているか
- 適用プロファイル(ドメイン/プライベート/パブリック)
Linux(firewalld)
# runtime(現在有効)
firewall-cmd --list-all
# permanent(再起動後も有効)
firewall-cmd --permanent --list-all
# ポート単体確認
firewall-cmd --query-port=80/tcp
firewall-cmd --permanent --query-port=80/tcp
※ runtime と permanent の違いを見落とすと、「再起動後に繋がらない」原因になります。
Linux(ufw)
ufw status verbose
実際に通信できるかを確認する(疎通確認)
内部ネットワークから確認
nc -vz サーバーIP ポート番号
結果の正しい解釈
- 接続成功
→ ネットワーク・FW・サービスすべて問題なし - Connection refused
→ 到達はしているが、先で拒否された
(サービス未起動・別ポート待ち受け等) - timeout / no response
→ ファイアウォールや経路で遮断されている可能性大
「refused」は“届いている”証拠であり、切り分け上は重要な情報です。
外部(インターネット)から確認
nmap -p 80,443 xxx.xxx.xxx.xxx
| 表示 | 意味 |
|---|---|
| open | ポート開放・待ち受けあり |
| closed | 到達しているが開いていない |
| filtered | FW/ACL等で遮断されている可能性 |
ルーター・NAT環境での注意点
ルーター配下のサーバーでは、次の 2段階確認 が必須です。
- ルーターでポートフォワーディングされているか
- サーバーOSで該当ポートが許可されているか
さらに注意点として、LAN内から自分のグローバルIPに接続できない場合があります
(NATループバック非対応)。
外部確認は 別回線(スマホ回線等)から行うのが確実です。
クラウド環境での見落としポイント
クラウドでは OS ファイアウォールとは別に、クラウド側のネットワーク制御が存在します。
- セキュリティグループ
- ネットワークACL
- VPCレベルのFWルール
OSで開いていても、ここが閉じていれば通信できません。
IPv4 / IPv6 による混乱
- サービスが IPv4 のみで待ち受けている
- クライアントが IPv6 で接続を試みている
この場合、「開いているのに繋がらない」状態になります。
待ち受けアドレスと、実際の接続経路が一致しているかを必ず確認してください。
実務で使えるポート開放確認の正しい順序
- ポート番号・プロトコル・方向を明確化
- サービスの LISTEN 状態を確認
- OSファイアウォールの設定確認
- 内部 → 外部の順で疎通確認
- ルーター/クラウドFW/IPv6 を確認
この順序を守ることで、無駄な調査を大幅に減らせます。
以上、ファイアウォールのポート開放の確認についてでした。
最後までお読みいただき、ありがとうございました。
商品カテゴリから探す
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
受付時間 / 9:00~17:00 定休日 / 土・日・祝
【大阪本社】
〒531-0072
大阪市北区豊崎3-19-3
ピアスタワー6階
電話番号:06-6359-5533
FAX番号:06-6359-5534
【東京支店】
〒104-0032
東京都中央区八丁堀3-25-8
八丁堀陽光ビル3階A
電話番号:03-6823-1313
【福岡支店】
〒812-0038
福岡市博多区祇園町8-13
第一プリンスビル1階
(Zero-Ten Park キャナルシティ博多前)
電話番号:092-600-1222
