Ubuntu ポート確認の基本【初心者向け】

By /

Ubuntu ポート確認の基本【初心者向け】

サーバー管理やネットワークトラブルシューティング、あるいは単に自分のUbuntuマシンでどんなサービスが動いているか確認したいと思ったことはありませんか? その際に非常に重要になるのが「ポート」の状態を確認することです。

「ポート」と聞くと難しく感じるかもしれませんが、心配いりません。この記事は、Ubuntu初心者の方がポート確認の基本的な考え方と、よく使うコマンドの使い方を理解できるよう、非常に詳しく、分かりやすく解説します。この記事を読めば、Ubuntuでポートを確認する基本的なスキルが身につき、トラブルシューティングやセキュリティチェックに役立てられるようになるでしょう。

この記事では、以下の内容をじっくり解説していきます。

  1. ポートとは何か?(基本的な概念)
  2. なぜポート確認が必要なのか?
  3. Ubuntuでポートを確認する主なコマンド (netstat, ss, lsof) の使い方
  4. ポートが開いているか疎通確認するコマンド (telnet, nc) の使い方
  5. ファイアウォール(UFW)とポートの関係
  6. ポート確認を活用したトラブルシューティング
  7. セキュリティ上の注意点

それぞれのコマンドについて、具体的な使い方、よく使うオプション、そしてコマンドの出力例とその見方を詳しく解説します。少し長い記事になりますが、ぜひ最後までお付き合いください。

1. ポートとは何か?(基本的な概念)

まず、ポートとは一体何なのでしょうか?

インターネットやネットワーク上でコンピュータ同士が通信する際には、まずIPアドレスを使って通信相手のコンピュータを特定します。IPアドレスは、例えるなら「通信相手の建物の住所」のようなものです。

しかし、一つのコンピュータ上では、Webサーバー、メールサーバー、SSHサーバーなど、複数の異なるサービスが同時に動いていることがよくあります。これらのサービスは、外部からの通信要求を受け付ける必要があります。IPアドレスだけでは、どのサービスに対する通信なのかを区別できません。

そこで登場するのが「ポート」です。ポートは、IPアドレスで指定されたコンピュータ内の「通信の窓口」「サービスへの入り口」のようなものです。例えるなら、建物の住所(IPアドレス)に加えて、「何号室の誰々さん宛て」(ポート番号)という情報を付けることで、特定のサービスに正確に通信を届けられるようになります。

ポートは0から65535までの番号で識別されます。この番号によって、どのサービスがそのポートを使っているか、あるいは使うべきかが決められています。

  • ウェルノウンポート (0-1023): HTTP (Web) のポート80、HTTPS (セキュアなWeb) のポート443、SSH (リモートログイン) のポート22、FTP (ファイル転送) のポート20/21、SMTP (メール送信) のポート25など、よく使われる主要なサービスのポート番号はあらかじめ決められています。これらは「ウェルノウンポート」と呼ばれます。
  • 登録済みポート (1024-49151): 特定のアプリケーションのために登録されたポート番号です。
  • ダイナミックポート / プライベートポート (49152-65535): クライアントがサーバーに接続する際などに一時的に使用されるポート番号です。通常、これらのポート番号は特定のサービスに固定されず、必要に応じて動的に割り当てられます。

TCPとUDP

ポートを使う通信には、主にTCP (Transmission Control Protocol) と UDP (User Datagram Protocol) の2つのプロトコルがあります。ポート番号は同じでも、TCPとUDPで意味が異なる場合があります(ただし、多くの主要なサービスはTCPを使います)。

  • TCP: 信頼性のある通信を提供します。データを送る前に接続を確立し、データが正しく届いたか確認しながら通信を行います。Web通信 (HTTP/HTTPS)、SSH、FTPなどはTCPを使います。例えるなら、「相手と電話で話しながら、話が伝わったか確認しつつ情報をやり取りする」ようなイメージです。
  • UDP: 接続の確立やデータ到着の確認を行いません。信頼性よりも速度を重視する場合に使われます。DNS (ドメイン名解決)、オンラインゲーム、動画ストリーミングの一部などに使われます。例えるなら、「ハガキを出すように、送りっぱなしで相手に届いたか確認しない」ようなイメージです。

ポート確認をする際には、そのポートがTCPで使われているのか、UDPで使われているのかも重要な情報となります。

2. なぜポート確認が必要なのか?

Ubuntuでポートの状態を確認する必要があるのは、主に以下のような理由からです。

  • サービスが正しく起動しているか確認するため: Webサーバー (Apache, Nginx) やデータベースサーバー (MySQL, PostgreSQL)、SSHサーバーなどのサービスが起動している場合、通常は特定のポートで接続を待ち受けています(リスンしています)。ポートがリスンしているか確認することで、サービスが正しく起動し、外部からの接続を受け付ける準備ができているかを確認できます。
  • ネットワークトラブルシューティング: 特定のサービスに接続できない場合、そのサービスが利用するポートがサーバー側で開いているか、あるいはファイアウォールによってブロックされていないかなどを確認する必要があります。
  • セキュリティチェック: 意図しないサービスが起動してポートを開けていないか、あるいは不要なポートが開いたままになっていないかを確認することで、セキュリティリスクを低減できます。攻撃者は開いているポートを探して侵入を試みることがあるため、不要なポートは閉じておくのが基本です。
  • ポートの競合を確認するため: 複数のサービスが同じポートを使おうとすると、どちらか一方しか起動できない、あるいは予期しない動作をする場合があります。ポートの競合が発生していないか確認するのに役立ちます。

これらの理由から、ポート確認はUbuntuを運用する上で非常に基本的な、そして重要なスキルとなります。

3. Ubuntuでポートを確認する主なコマンド

Ubuntuでポートの状態を確認するために、いくつかのコマンドがよく使われます。ここでは特に代表的な netstatsslsof という3つのコマンドについて、初心者向けに詳しく解説します。

3.1. netstat コマンド

netstat (network statistics) コマンドは、ネットワーク接続、ルーティングテーブル、ネットワークインターフェース統計などを表示するための伝統的なコマンドです。Ubuntuを含む多くのLinuxシステムで利用できます。現在では後継の ss コマンドが推奨されることが多いですが、依然として広く使われています。

基本的な使い方

netstat コマンドは様々な情報を表示できますが、ポート確認で最もよく使うのは、「現在アクティブな(通信中のものも含む)ネットワーク接続や、接続を待ち受けている(リスンしている)ポート」の一覧を表示する機能です。

この機能を使うために、いくつかのオプションを組み合わせて使用します。

よく使うオプション

  • -a (all): すべてのソケット(接続中のものも、接続待機中のものも)を表示します。
  • -t (tcp): TCPプロトコルのソケットを表示します。
  • -u (udp): UDPプロトコルのソケットを表示します。
  • -l (listening): 接続待機中(リスン状態)のソケットのみを表示します。-a オプションと併用することが多いです。
  • -p (program): そのソケットを使用しているプログラムのPID(プロセスID)とプログラム名を表示します。このオプションを使うには、通常 sudo で管理者権限が必要です。
  • -n (numeric): ホスト名、ポート番号、ユーザー名などを数値形式で表示します。これを使うと、名前解決(DNSルックアップなど)が行われないため、コマンドの実行が速くなります。ポート番号で確認したい場合に必須のオプションです。
  • -r (route): ルーティングテーブルを表示します。(ポート確認とは少し目的が異なりますが、ネットワーク関連の情報として知っておくと良いでしょう。)

最もよく使う組み合わせ: netstat -tulnp

ポートが「リスンしているかどうか」を確認する目的で、最もよく使われるオプションの組み合わせは -tulnp です。

  • -t: TCPソケットを表示
  • -u: UDPソケットを表示
  • -l: リスン状態のソケットのみ表示
  • -n: 数値形式で表示(ポート番号で確認するため)
  • -p: プログラム情報(PID/プログラム名)を表示

このコマンドを実行すると、TCPまたはUDPで接続を待ち受けているポートの一覧と、それを使用しているプログラムの情報が表示されます。管理者権限が必要なため、通常は sudo を付けて実行します。

bash
sudo netstat -tulnp

出力例とその見方

上記のコマンドを実行すると、以下のような出力が表示されます。

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 756/systemd-resolve
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 905/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 939/cupsd
tcp6 0 0 :::22 :::* LISTEN 905/sshd
tcp6 0 0 ::1:631 :::* LISTEN 939/cupsd
udp 0 0 127.0.0.53:53 0.0.0.0:* 756/systemd-resolve
udp 0 0 0.0.0.0:68 0.0.0.0:* 551/systemd-network
udp 0 0 0.0.0.0:631 0.0.0.0:* 939/cupsd
udp6 0 0 :::546 :::* 551/systemd-network
udp6 0 0 ::1:631 :::* 939/cupsd

各列の意味は以下の通りです。

  • Proto: プロトコル(TCPまたはUDP)を示します。tcp6udp6はIPv6での接続を示します。
  • Recv-Q: 受信キューのバイト数。接続待機状態では通常0です。
  • Send-Q: 送信キューのバイト数。接続待機状態では通常0です。
  • Local Address: ローカル(自分のコンピュータ)のアドレスとポート番号を示します。
    • 0.0.0.0::: は、すべてのアドレスからの接続を受け付けていることを意味します(外部からの接続も受け付ける設定)。
    • 127.0.0.1::1 は、ローカルホスト(自分自身)からの接続のみを受け付けていることを意味します(外部からは接続できない設定)。
    • :<ポート番号> の部分がポート番号です。例えば :22 はポート22を意味します。
  • Foreign Address: リモート(通信相手)のアドレスとポート番号を示します。リスン状態の場合は接続相手がまだいないため 0.0.0.0:*:::* と表示されます。
  • State: ソケットの状態を示します。ポート確認で重要なのは LISTEN です。これは、そのポートで接続を待ち受けている状態であることを意味します。他にも ESTABLISHED (接続確立済み), TIME_WAIT, CLOSE_WAIT などがありますが、リスン状態の確認では LISTEN を見ます。UDPには接続状態という概念がないため、UDPの場合はStateが表示されません。
  • PID/Program name: そのソケットを使っているプロセスのIDとプログラム名を示します。例えば 905/sshd は、PID 905の sshd(SSHデーモン)がこのポートを使っていることを意味します。

この出力例から、以下のことが分かります。

  • TCPポート22 (tcp 0.0.0.0:22 および tcp6 :::22) は sshd (PID 905) がリスンしています。これはSSHサーバーが起動しており、IPv4およびIPv6のすべてのアドレスからの接続を受け付けていることを意味します。
  • TCPポート80 (Webサーバー) や443 (HTTPS) はリスンしていません。(もしWebサーバーが起動していれば、tcp 0.0.0.0:80 などが表示されるはずです。)
  • TCPポート631 (tcp 127.0.0.1:631 および tcp6 ::1:631) は cupsd (PID 939) がリスンしています。これは通常、印刷サービス (CUPS) がローカルホストからの接続を受け付けていることを意味します。外部からは接続できません。
  • UDPポート53 (udp 127.0.0.53:53) は systemd-resolve (PID 756) がリスンしています。これはローカルのDNSリゾルバがローカルホストからのDNSクエリを受け付けていることを意味します。

特定のポートやサービスで絞り込む (grep との組み合わせ)

netstat -tulnp の出力は量が多い場合があります。特定のポート番号やサービス名に関連する情報だけを見たい場合は、grep コマンドと組み合わせるのが便利です。

例えば、SSHが使っているポート22に関連する情報を確認したい場合:

bash
sudo netstat -tulnp | grep 22

出力例:

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 905/sshd
tcp6 0 0 :::22 :::* LISTEN 905/sshd

この結果から、SSHデーモン (sshd) がポート22でIPv4およびIPv6の接続をリスンしていることがすぐに分かります。

ポート80(HTTP)に関連する情報を見たい場合:

bash
sudo netstat -tulnp | grep 80

Webサーバーが動いていなければ、何も出力されないか、あるいは他のサービスのポート80に関連する出力が表示されるかもしれません。

特定のサービス名(例: sshd)で絞り込むこともできます。

bash
sudo netstat -tulnp | grep sshd

出力例:

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 905/sshd
tcp6 0 0 :::22 :::* LISTEN 905/sshd

このように grep を使うことで、必要な情報だけを効率的に見つけることができます。

3.2. ss コマンド

ss (socket statistics) コマンドは、netstat の後継として開発された、より新しく高速なコマンドです。ソケットに関するより詳細な情報を、netstat よりも高速に表示できます。現代のLinuxシステムでは ss が推奨されることが多いです。使い方は netstat と非常に似ています。

基本的な使い方

ss コマンドも、ポート確認では主に「アクティブなネットワーク接続や、接続を待ち受けているポート」の一覧を表示するために使用します。オプションも netstat と共通する部分が多いです。

よく使うオプション

ss のオプションは netstat と似ていますが、少し異なります。

  • -a, --all: すべてのソケットを表示します。
  • -t, --tcp: TCPソケットを表示します。
  • -u, --udp: UDPソケットを表示します。
  • -l, --listening: リスン状態のソケットのみを表示します。
  • -p, --processes: ソケットを使用しているプロセス情報を表示します。通常 sudo が必要です。
  • -n, --numeric: ポート番号やアドレスなどを数値形式で表示します。
  • -s, --summary: ソケットの統計情報を表示します。
  • -r, --resolve: 数値アドレスやポート番号を名前解決して表示します。(-n の逆)

最もよく使う組み合わせ: ss -tulnp

netstat と同様に、リスンしているTCPおよびUDPポートとプロセス情報を表示するために、-tulnp というオプションの組み合わせがよく使われます。

bash
sudo ss -tulnp

出力例とその見方

ss -tulnp コマンドの出力は、netstat の出力と似ています。

Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
tcp LISTEN 0 128 127.0.0.53%lo:53 0.0.0.0:* users:(("systemd-resolve",pid=756,fd=13))
tcp LISTEN 0 128 0.0.0.0:22 0.0.0.0:* users:(("sshd",pid=905,fd=3))
tcp LISTEN 0 128 127.0.0.1:631 0.0.0.0:* users:(("cupsd",pid=939,fd=9))
tcp6 LISTEN 0 128 [::]:22 [::]:* users:(("sshd",pid=905,fd=4))
tcp6 LISTEN 0 128 [::1]:631 [::]:* users:(("cupsd",pid=939,fd=10))
udp UNCONN 0 0 127.0.0.53%lo:53 0.0.0.0:* users:(("systemd-resolve",pid=756,fd=14))
udp UNCONN 0 0 0.0.0.0:68 0.0.0.0:* users:(("systemd-network",pid=551,fd=18))
udp UNCONN 0 0 0.0.0.0:631 0.0.0.0:* users:(("cupsd",pid=939,fd=11))
udp6 UNCONN 0 0 [::]:546 [::]:* users:(("systemd-network",pid=551,fd=20))
udp6 UNCONN 0 0 [::1]:631 [::]:* users:(("cupsd",pid=939,fd=12))

ss の出力列の意味は以下の通りです。

  • Netid: プロトコル(tcp, udp, tcp6, udp6など)
  • State: ソケットの状態 (LISTEN, ESTAB, UNCONN など)。UDPの場合は通常 UNCONN です。
  • Recv-Q: 受信キュー。LISTEN 状態では待機している接続数を示すこともあります。
  • Send-Q: 送信キュー。LISTEN 状態ではバックログ(キュー可能な接続数)を示すこともあります。
  • Local Address:Port: ローカル(自分のコンピュータ)のアドレスとポート番号。netstat と同様に 0.0.0.0[::] はすべてのアドレス、127.0.0.1[::1] はローカルホストを意味します。ポート番号は :ポート番号 の形式です。
  • Peer Address:Port: リモート(通信相手)のアドレスとポート番号。リスン状態では 0.0.0.0:*[::]:* と表示されます。
  • Process: ソケットを使用しているプロセスに関する情報。netstatPID/Program name よりも詳細で、users:(("プログラム名",pid=PID,fd=ファイル記述子)) の形式で表示されます。

ss の出力も netstat と同様に、どのポートでどのサービスがリスンしているかを確認できます。例えば、上記出力から sshd がポート22 (IPv4/IPv6) でリスンしていることが分かります。

特定のポートやサービスで絞り込む (grep との組み合わせ)

ss でも grep を使って出力をフィルタリングできます。

ポート80に関連する情報を確認したい場合:

bash
sudo ss -tulnp | grep 80

Webサーバー (Apache/Nginxなど) がポート80でリスンしていれば、以下のような行が表示されるはずです。

tcp LISTEN 0 128 0.0.0.0:80 0.0.0.0:* users:(("apache2",pid=1234,fd=4))
tcp6 LISTEN 0 128 [::]:80 [::]:* users:(("apache2",pid=1234,fd=5))

(プログラム名はApacheの場合はapache2、Nginxの場合はnginxなどとなります。PIDやfdは実行環境によって異なります。)

SSHサービス (sshd) で絞り込む場合:

bash
sudo ss -tulnp | grep sshd

またはポート番号で絞り込む場合:

bash
sudo ss -tulnp | grep :22

どちらも netstat と同様に期待する情報が表示されます。

ss の利点

ssnetstat に比べて以下のような利点があります。

  • 高速: 大量の接続があるシステムでも、netstat よりはるかに高速に情報を取得できます。
  • 詳細な情報: ソケットに関するより詳細な情報を表示するオプション (-o タイマー情報, -i 内部TCP情報など) が豊富にあります。
  • より強力なフィルタリング: コマンド自体にフィルタリング構文があり、grep を使うよりも効率的に情報を絞り込めます(ただし、この構文は初心者には少し複雑かもしれません)。

初心者の方は、まず netstatss のどちらか、あるいは両方を使って -tulnp オプションでリスンポートを確認する練習をすることをお勧めします。どちらも基本的な情報は同様に取得できます。

3.3. lsof コマンド

lsof (List Open Files) コマンドは、その名の通りシステム上で「開かれているファイル」の一覧を表示するコマンドです。Linuxでは、ネットワークソケットも「ファイル」の一種として扱われます。そのため、lsof を使ってネットワーク接続やリスンポートを確認することができます。

基本的な使い方

lsof でネットワーク関連の情報を表示するには、-i オプションを使います。

bash
sudo lsof -i

このコマンドは、すべてのネットワークファイル(ソケット)を表示します。出力は量が多くなる傾向があります。

特定のポートを指定して確認

特定のポートを使用しているプロセスを確認したい場合に lsof -i は特に便利です。:ポート番号 の形式でポートを指定します。

例えば、ポート80を使用しているプロセスを確認したい場合:

bash
sudo lsof -i :80

または、ポート22(SSH)を確認したい場合:

bash
sudo lsof -i :ssh

サービス名で指定することも可能です(/etc/services ファイルに登録されているサービス名)。ポート番号で指定する方が確実です。

特定のプロトコルとポートを指定

プロトコル(TCP/UDP)とポート番号を組み合わせて指定することもできます。

TCPポート80を確認する場合:

bash
sudo lsof -i tcp:80

UDPポート53を確認する場合:

bash
sudo lsof -i udp:53

出力例とその見方

lsof -i :ポート番号 の出力例です(ポート22の場合):

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 905 root 3u IPv4 21321 0t0 TCP *:ssh (LISTEN)
sshd 905 root 4u IPv6 21323 0t0 TCP *:ssh (LISTEN)

各列の意味は以下の通りです。

  • COMMAND: そのソケットを開いているプログラム名。
  • PID: プログラムのプロセスID。
  • USER: プロセスを実行しているユーザー。
  • FD: ファイル記述子 (File Descriptor)。u は読み書き用に開かれていることを意味します。
  • TYPE: ファイルのタイプ。ネットワークソケットの場合は IPv4IPv6 になります。
  • DEVICE: デバイス番号。ネットワークソケットでは通常不要な情報です。
  • SIZE/OFF: ファイルサイズまたはオフセット。ネットワークソケットでは通常不要な情報です。
  • NODE: inode番号。ネットワークソケットでは通常不要な情報です。
  • NAME: ファイル名。ネットワークソケットの場合は、プロトコル、ローカルアドレス:ポート、リモートアドレス:ポート、ソケットの状態などが表示されます。
    • *:ssh*:80*0.0.0.0[::] と同様にすべてのアドレスを意味します。
    • (LISTEN) は接続待機状態であることを意味します。
    • (ESTABLISHED) は接続確立済みを意味します。

この例では、PID 905の sshd プロセスが、IPv4およびIPv6のポート22 (ssh) でリスンしていることが分かります。

lsof の利点

lsof は、特定のポートを「どのプロセスが使っているか」を正確に知りたい場合に非常に便利です。例えば、「Address already in use」(アドレスは既に使用されています)というエラーが出てサービスが起動できない場合、lsof -i :エラーが出たポート番号 を実行することで、どのプロセスがそのポートを占有しているかを特定し、問題を解決するのに役立ちます。

netstatss は主にリスン状態のポート一覧を確認するのに使いますが、lsof は特定のポートに絞って「どのプロセスが使っているか」を知りたい場合に有効です。

4. ポートの疎通確認コマンド

ここまでに紹介した netstat, ss, lsof は、すべてローカルのUbuntuマシン自身で、サービスが特定のポートで接続を待ち受けているか(リスンしているか)を確認するためのコマンドでした。

しかし、サービスがリスンしているからといって、必ずしも他のコンピュータ(ローカルネットワーク内の別のマシンやインターネット上のマシン)からそのポートに接続できるとは限りません。途中のファイアウォール(後述のUFWなど)やルーターの設定によって通信がブロックされている可能性があるからです。

そこで、実際に指定したポートに接続できるか(疎通するか)を確認するために、以下のコマンドが役立ちます。

4.1. telnet コマンド

telnet は本来、リモートの端末にログインするためのプロトコルおよびコマンドですが、TCPポートへの接続テストにも非常に単純で便利なツールとして使われます。多くのシステムにデフォルトでインストールされていない場合があるため、必要に応じてインストールが必要です (sudo apt update && sudo apt install telnet)。

使い方

基本的な使い方は非常にシンプルです。

bash
telnet ホスト名 ポート番号

  • ホスト名: 接続したいコンピュータのIPアドレスまたはホスト名(例: localhost, 192.168.1.100, example.com
  • ポート番号: 接続したいポートの番号(例: 80, 22, 443

ローカルホストで試す例

Ubuntuマシン上でWebサーバー(ApacheやNginxなど)がポート80で動いているか確認したい場合:

bash
telnet localhost 80

  • 接続に成功した場合:
    Trying 127.0.0.1...
    Connected to localhost.
    Escape character is '^]'.
    このようなメッセージが表示され、接続が成功したことを示します。その後、何か入力するとWebサーバーが応答を返す可能性があります(HTTPリクエストなどを送れます)。Ctrl+] を押して telnet> プロンプトを表示し、quit と入力して終了します。
  • 接続に失敗した場合:
    Trying 127.0.0.1...
    telnet: Unable to connect to remote host: Connection refused
    または
    Trying 127.0.0.1...
    telnet: Unable to connect to remote host: Connection timed out
    Connection refused は、そのポートで誰もリスンしていない場合によく表示されます。「部屋のインターホンを押したけど、誰もいない(またはドアが閉まっている)」ような状態です。
    Connection timed out は、ネットワーク経路上の問題(ファイアウォールでブロックされている、ネットワークが到達不能など)で接続が確立できない場合によく表示されます。「建物自体にたどり着けない」ような状態です。

外部ホスト/ポートで試す例

もしあなたのUbuntuマシンが外部に公開されており、ポート22(SSH)が外部から接続できるか確認したい場合(セキュリティ上の注意点をよく理解した上で):

bash
telnet あなたのグローバルIPアドレス 22

または、もしSSHサーバーが別のポート(例: 2222)で動いているか確認したい場合:

bash
telnet あなたのグローバルIPアドレス 2222

接続成功すれば Connected to ... と表示されます。失敗すれば Connection refusedConnection timed out が表示されます。

telnet の注意点

telnet プロトコル自体は通信内容が暗号化されないため、セキュリティ上の理由からリモートログインには現在ほとんど使われません。しかし、ポートへの接続テストという目的では、そのシンプルさから依然として使われています。ただし、接続できたかどうかの確認以上の機能は限定的です。

4.2. nc (netcat) コマンド

nc (netcat) は、「TCP/IPのあらゆる操作を行うためのスイスアーミーナイフ」と呼ばれるほど多機能なコマンドラインツールです。ポートのスキャンや接続テスト、ポート間でのデータ転送など、様々な用途に使われます。ポートの疎通確認にも非常に便利です。telnet 同様、必要に応じてインストールが必要です (sudo apt update && sudo install netcat-openbsd)。

使い方(ポートスキャン/接続テストモード)

nc を使って特定のポートへの接続テストを行うには、クライアントモードで -z オプション(ゼロI/Oモード、データ送信を行わず接続テストのみ行う)と -v オプション(詳細表示)を組み合わせて使用するのが便利です。

bash
nc -zv ホスト名 ポート番号

telnet と同様に、ホスト名ポート番号を指定します。

ローカルホストで試す例

Ubuntuマシン上でWebサーバーがポート80で動いているか確認したい場合:

bash
nc -zv localhost 80

  • 接続に成功した場合:
    Connection to localhost 80 port [tcp/*] succeeded!
    succeeded! と表示されれば成功です。
  • 接続に失敗した場合:
    nc: connect to localhost port 80 (tcp) failed: Connection refused
    または
    nc: connect to localhost port 80 (tcp) failed: Connection timed out
    Connection refused または Connection timed out と表示されます。

特定のポート範囲をスキャン

nc は、特定のホスト上のポート範囲をスキャンすることもできます(ただし、許可されていないネットワークに対してポートスキャンを行うことは、不正アクセスとみなされる可能性があるため、自分の管理下のシステムに対してのみ実行してください)。

bash
nc -zv ホスト名 ポート開始番号-ポート終了番号

例: ローカルホストのポート20から25までをスキャン

bash
nc -zv localhost 20-25

出力例:

nc: connect to localhost port 20 (tcp) failed: Connection refused
nc: connect to localhost port 21 (tcp) failed: Connection refused
Connection to localhost 22 port [tcp/*] succeeded!
nc: connect to localhost port 23 (tcp) failed: Connection refused
nc: connect to localhost port 24 (tcp) failed: Connection refused
nc: connect to localhost port 25 (tcp) failed: Connection refused

この例では、ポート22だけが接続可能(リスンしている)であることが分かります。

nc の利点

  • telnet より機能が豊富で、ポートスキャンも容易に行える。
  • TCPだけでなくUDPの接続テストも可能(-u オプションを使用)。例: nc -zv -u localhost 53
  • スクリプトなどにも組み込みやすい。

telnetnc は、ローカルのサービスがリスンしているか (netstat/ss/lsof) を確認した後、実際に外部から(あるいはローカルから)そのポートに接続できるかを確認するための強力なツールです。トラブルシューティングの際には、これらのツールを使って段階的に問題を切り分けていきます。

5. ファイアウォール(UFW)とポートの関係

Ubuntuでは、通常デフォルトのファイアウォールとして UFW (Uncomplicated Firewall) が利用できます。ファイアウォールは、コンピュータと外部ネットワークの間で通信を監視し、設定に基づいて特定の通信を許可したり拒否したりする役割を果たします。

つまり、サービスが特定のポートでリスンしていても (netstat/ss/lsofLISTEN と表示されていても)、ファイアウォールでそのポートからの通信がブロックされていれば、外部からは接続できません (telnet/ncConnection refused または Connection timed out となる可能性があります)。

ポート確認をする上で、ファイアウォールの設定を確認することは非常に重要です。

UFWの基本的な使い方

UFWの状態を確認する最も基本的なコマンドは ufw status です。

bash
sudo ufw status

  • Status: inactive: ファイアウォールが無効であることを示します。この場合、ポートはすべて開放されている(ただし、サービスがリスンしているポートに限る)状態です。
  • Status: active: ファイアウォールが有効であることを示します。この場合、設定に基づいてポートの許可/拒否が行われます。

より詳細な設定(どのポートやサービスが許可されているか)を確認するには、verbose オプションを使います。

bash
sudo ufw status verbose

出力例:

“`
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To Action From
— —— —-
22/tcp ALLOW Anywhere
80/tcp ALLOW Anywhere
443/tcp ALLOW Anywhere
22/tcp (v6) ALLOW Anywhere (v6)
80/tcp (v6) ALLOW Anywhere (v6)
443/tcp (v6) ALLOW Anywhere (v6)
“`

この例では、 incoming (外から内への通信) はデフォルトで deny (拒否) されていますが、ポート22, 80, 443 のTCP通信は IPv4 および IPv6 の両方で ALLOW (許可) されていることが分かります。

ポート確認とファイアウォールの関連付け

  1. まず netstat -tulnp または ss -tulnp で、目的のサービスがローカルの指定ポートで LISTEN しているか確認します。サービスがリスンしていなければ、接続できないのは当然です。
  2. サービスがリスンしているのに外部から接続できない場合、sudo ufw status verbose で、そのポートがファイアウォールで許可されているか確認します。もし deny されているか、何も設定がない場合は、ファイアウォールが原因である可能性が高いです。
  3. ファイアウォールで許可されているにも関わらず接続できない場合は、ローカルネットワーク内の別のファイアウォール、ルーターのポート転送設定、またはインターネットサービスプロバイダ (ISP) の制限など、さらに外側のネットワークに問題がある可能性があります。

このように、ポート確認コマンドとファイアウォール設定確認コマンドを組み合わせて使うことで、どこに問題があるかを切り分けていくことができます。

UFWで特定のポートを許可/拒否する方法はここでは詳しく触れませんが(初心者向けにはコマンドを安全に実行できるようになるまで時間をかけるのがおすすめです)、例えばSSHポート(デフォルト22)を許可するコマンドは sudo ufw allow ssh または sudo ufw allow 22/tcp です。変更後は sudo ufw reload で設定を反映させます。ファイアウォール設定を誤ると、SSH接続ができなくなってサーバーにアクセスできなくなる危険性もあるため、十分注意して行ってください。特にリモートのサーバーで作業する場合は、設定ミスに備えて別の方法(例えばコンソールアクセス)を確保しておくことを強く推奨します。

6. ポート確認を活用したトラブルシューティング

これまでに紹介したコマンドを使って、よくあるネットワーク関連のトラブルをどのように診断するか、具体的なシナリオを見てみましょう。

シナリオ1: Webサーバー (Apache/Nginx) が起動しない、または接続できない

  • 現象: WebブラウザからサーバーのIPアドレスにアクセスしてもページが表示されない、あるいはサービス起動時にエラーが出る。
  • 疑われる原因: Webサーバープロセスが起動していない、またはポート80/443を別のプロセスが使っている、ファイアウォールでブロックされている、など。

トラブルシューティング手順:

  1. Webサーバープロセスが実行されているか確認:
    • sudo systemctl status apache2 または sudo systemctl status nginx
    • もし active (running) でなければ、ログ (sudo journalctl -xeu apache2 など) を確認して起動エラーの原因を探る。
  2. Webサーバーがポート80/443でリスンしているか確認:
    • sudo netstat -tulnp | grep :80
    • sudo netstat -tulnp | grep :443
    • または sudo ss -tulnp | grep :80
    • sudo ss -tulnp | grep :443
    • 出力に LISTEN 状態のWebサーバープロセス(apache2nginx)が表示されるか確認します。
    • もし表示されなければ、プロセスは動いているがポートをリスンできていない(設定ミスなど)か、そもそもプロセスが起動していない可能性があります。
  3. 別のプロセスがポート80/443を占有していないか確認:
    • サービス起動時に “Address already in use” のようなエラーが出た場合、または上記の手順2でWebサーバー以外のプロセスがリスンしている場合、ポートの競合が起きています。
    • sudo lsof -i :80
    • sudo lsof -i :443
    • これらのコマンドで表示されたプロセスのPIDを確認し、それがWebサーバー以外のプロセスであれば、そのプロセスを停止させる必要があります (sudo systemctl stop プロセス名 または sudo kill PID)。
  4. ローカルホストからの接続を試す:
    • Webサーバーがリスンしていることが確認できたら、まずサーバー自身から接続できるか確認します。
    • telnet localhost 80 または nc -zv localhost 80
    • ローカルから接続できない場合、Webサーバーの設定やサービスの起動に問題がある可能性が高いです。
  5. ファイアウォール設定を確認:
    • ローカルからは接続できるが、他のマシンから接続できない場合、ファイアウォールが原因かもしれません。
    • sudo ufw status verbose
    • ポート80/tcpおよび443/tcpが ALLOW になっているか確認します。もし deny されているか、ルールがなければ、許可する設定を追加します(注意して実行!)。
  6. 別のマシンから接続を試す:
    • ファイアウォール設定も問題なさそうであれば、ローカルネットワーク内の別のマシンから telnet サーバーのローカルIP 80 や Webブラウザでアクセスを試みます。
    • ローカルネットワーク内からは接続できるが、インターネットからはできない場合、ルーターのポート転送設定やISPの制限を確認します。

シナリオ2: SSHでリモートログインできない

  • 現象: 別のマシンからSSHコマンド (ssh ユーザー名@サーバーIP) で接続しようとすると接続エラーになる。
  • 疑われる原因: SSHサーバー (sshd) が起動していない、ポート22(または設定したポート)でリスンしていない、ファイアウォールでブロックされている、など。

トラブルシューティング手順:

  1. SSHサーバー (sshd) プロセスが実行されているか確認:
    • sudo systemctl status sshd または sudo systemctl status ssh
    • もし active (running) でなければ、起動エラーの原因を探る。
  2. SSHサーバーがポート22でリスンしているか確認:
    • sudo netstat -tulnp | grep ssh
    • sudo ss -tulnp | grep ssh
    • または設定でポート番号を変更している場合は、そのポート番号でgrepします。
    • 出力に LISTEN 状態の sshd プロセスが表示されるか確認します。
  3. ローカルホストからのSSH接続を試す:
    • ssh localhost
    • ローカルから自分自身に接続できるか確認します。もしできなければ、SSHサーバーの設定や起動に問題があります。
  4. ファイアウォール設定を確認:
    • ローカルからは接続できるが、別のマシンから接続できない場合。
    • sudo ufw status verbose
    • ポート22/tcp(または設定したポート)が ALLOW になっているか確認します。
  5. 別のマシンから接続を試す:
    • ローカルネットワーク内の別のマシンから ssh ユーザー名@サーバーローカルIP を試します。
    • ローカルネットワーク内からは接続できるが、インターネットからはできない場合、ルーターのポート転送設定やISPの制限を確認します。

このように、ポート確認コマンドは、サービスがそもそも動いているか、どのポートを使っているか、そしてそのポートが外部から到達可能か、といった様々な側面から問題を診断するための出発点となります。

7. セキュリティ上の注意点

ポート確認はセキュリティの観点からも重要ですが、同時にいくつかの注意点があります。

  • 不要なポートは開けない: netstatss で確認して、自分が意図していないサービスがリスンしているポートがあれば注意が必要です。多くの場合、これは不要なサービスが起動しているか、マルウェアなどがポートを開いている可能性を示唆します。不要なサービスは停止させ、必要のないポートはファイアウォールで閉じることが、セキュリティの基本です。
  • ポートスキャンは許可なく行わない: nc -zv ホスト名 ポート範囲 のようなコマンドは、ターゲットのシステムでどんなポートが開いているかを探る「ポートスキャン」という行為です。自分の管理下にあるシステムや、明確に許可されたシステム以外に対してポートスキャンを行うことは、多くの場合、不正アクセス未遂とみなされ、法的な問題を引き起こす可能性があります。絶対に許可されていないネットワークに対してポートスキャンを実行しないでください。
  • sudo の使用: netstat, ss, lsof コマンドでプログラム名やPIDを表示するには sudo が必要です。これはこれらの情報が他のユーザーから見えないようにするためです。sudo コマンドは強力なので、誤った使い方をするとシステムに影響を与える可能性があります。コマンドの意味を理解してから実行するようにしましょう。
  • 公開するポートの制限: サーバーをインターネットに公開する場合、SSH (ポート22) やWebサービス (ポート80/443) など、必要最小限のポートのみを公開するようにファイアウォールを設定することが非常に重要です。それ以外のポートはすべて閉じる(デフォルトで拒否する)設定にするのが一般的です。
  • サービス名の確認: netstatss の出力で表示されるサービス名や、lsof -i :サービス名 で指定できるサービス名は、/etc/services ファイルに基づいています。このファイルは単なる名前とポート番号の対応表であり、実際にそのポートで動いているサービスが常にその名前であるとは限りません。プログラム名 (PID/Program nameCOMMAND) を確認する方が確実です。

ポート確認は、システムの「今」の状態を知るための重要な手段です。しかし、その結果をどのように解釈し、どのような対策を講じるかは、セキュリティの知識と注意深さが求められます。

8. まとめ

この記事では、Ubuntuにおけるポート確認の基本について、初心者向けに詳細に解説しました。

  • ポートとは: IPアドレスで指定されたコンピュータ内の、サービスごとの通信窓口です。ポート番号によってサービスが識別されます。TCPとUDPのプロトコルがあります。
  • ポート確認の目的: サービス起動確認、トラブルシューティング、セキュリティチェックなど。
  • リスンポート確認コマンド:
    • netstat -tulnp: 伝統的なコマンド。リスンしているTCP/UDPポートとプロセスを表示。
    • ss -tulnp: netstat の後継。より高速で詳細な情報を提供。
    • lsof -i :ポート番号: 特定のポートをどのプロセスが使用しているか確認。
  • ポート疎通確認コマンド:
    • telnet ホスト名 ポート番号: TCPポートへの接続テスト。シンプル。
    • nc -zv ホスト名 ポート番号 (または nc -zv ホスト名 ポート開始-ポート終了): ポートへの接続テストや範囲スキャン。多機能。
  • ファイアウォール: UFW (sudo ufw status verbose) がポートの開閉を制御します。サービスがリスンしていても、ファイアウォールでブロックされていれば外部からは接続できません。
  • トラブルシューティング: これらのコマンドを組み合わせて、サービスがリスンしているか、ポートが競合していないか、ファイアウォールで許可されているかなどを順に確認することで、ネットワーク接続の問題原因を特定できます。
  • セキュリティ: 不要なポートは閉じ、許可のないポートスキャンは行わないなど、セキュリティ上の注意が必要です。

これらのコマンドを使いこなせるようになれば、Ubuntuシステムの状態を把握し、様々なネットワーク関連の問題に対処するための強力な基礎が身につきます。まずは自分のUbuntuマシンでこれらのコマンドを実行し、どのような出力が得られるか確認してみることから始めてみてください。

ポート確認は、サーバーを運用する上での必須スキルの一つです。焦らず、一つずつコマンドのオプションや出力の意味を理解しながら習得していきましょう。この記事が、あなたのUbuntu学習の助けとなれば幸いです。

付録:用語集

  • IPアドレス (IP Address): ネットワーク上でコンピュータを識別するための番号。例: 192.168.1.100, 2001:db8::1。
  • ポート番号 (Port Number): 同一IPアドレスを持つコンピュータ上の、特定のサービスやアプリケーションを識別するための番号 (0-65535)。
  • TCP (Transmission Control Protocol): 信頼性のあるコネクション型の通信プロトコル。データの到着確認や再送制御を行う。
  • UDP (User Datagram Protocol): コネクションレス型の通信プロトコル。速度を重視し、データの到着確認や再送制御は行わない。
  • ソケット (Socket): ネットワーク通信における通信端点。IPアドレス、ポート番号、プロトコルの組み合わせで識別される。
  • リスン (Listen): サーバープログラムが特定のポートでクライアントからの接続を待ち受けている状態。
  • PID (Process ID): システム上で実行されている個々のプロセス(プログラムのインスタンス)を識別するための番号。
  • ファイアウォール (Firewall): ネットワーク通信を監視し、設定されたルールに基づいて通信を許可または拒否するシステムまたはソフトウェア。
  • UFW (Uncomplicated Firewall): Ubuntuでよく使われる、ファイアウォール設定を簡単に行うためのツール。

免責事項

この記事は、Ubuntuにおけるポート確認の一般的な方法と基本的な概念を説明するためのものです。コマンドの実行や設定変更は、システムの動作に影響を与える可能性があります。特にファイアウォール設定の変更やポートスキャンは、セキュリティリスクや法的な問題を引き起こす可能性があります。これらのコマンドや設定変更は、ご自身の責任において、十分に内容を理解した上で、必要に応じてバックアップを取ってから実行してください。本記事の情報に基づいて行った操作によって生じたいかなる損害についても、筆者および公開者は一切の責任を負いません。

これで約5000語の詳細な記事となります。初心者が基本的なポート確認の概念と主要なコマンドの使い方を理解できるよう、各項目を詳しく解説し、出力例やトラブルシューティングのシナリオも盛り込みました。

コメントする

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

上部へスクロール