Linuxサーバ初心者向けに、「ポートが開いてる」と「Listenしている」の違いをわかりやすく説明してみます。

まずはこちらをご覧ください

ロミオとジュリエットが窓越しに会話をしています。
HTTPで例えると、左のロミオがWebブラウザ(HTTPクライアント)、右のジュリエットがApache(HTTPサーバ)です。
ロミオがHTTPリクエストを送るとジュリエットはHTTP レスポンスを返してくれます。

この会話(=通信)が成り立つのは、

ときだけです。
重要なのは、「窓が開いているかどうか」と「ジュリエットが聞く耳をもっているかどうか」は別々のことなのです。

	ジュリエットが聞く耳を持っている	ジュリエットが聞く耳を持っていない
窓が開いている	○	x
窓が閉じている	x	x

○のときだけロミオは会話ができます。

「ポートが閉じている」＝窓が閉じている

窓が閉じている場合は、ジュリエットがどれだけロミオを待ち構えていても、会話はできません。

技術的に言うと、「ポートを閉じる」とは、パケットを転送しないで捨ててしまうことです。
やり方は何通りかあって、よくつかわれるのは次の２つの方法です。

城門が閉まっていると、敷地内に入ることすらできません。
ルータ(城門)でポートを閉じると、サーバ(屋敷)にパケット(声)が到達できなくなります。

クラウドの場合は物理的なルータを扱えないことが多いですが、似たような機能がサービスとして用意されてたりります。
例えばAWS EC2の場合はSecurityGroupsという機能がファイアーウォールの役割を果たしてくれます。

城門(ルータ)が開いていれば屋敷(サーバ)の前まで行くことができますが、部屋の窓が閉じていると、ロミオの声はジュリエットに届きません。

サーバにはパケットフィルタ機能というものがあって、外から入ってくるパケットを遮断することができます。

Linuxではfirewalldとかiptablesという名前で呼ばれている機能で、内部的にはカーネルモジュールとして実装されています。

"Listenする"とは、なかのひと（＝プロセス)が聞く準備ができている状態をいいます。

たとえ窓（ポート)が開いていたとしても、なかのひとが眠っていたり死んでいたりすると、こちらから話かけても会話はできません。

netstatやssコマンドでポートのListen状態を調べることができます。これは、「聞き耳を立てているひと(プロセス)がいるかどうか」を調べるときに使います。逆に、netstatやssは窓の開閉を調べるのには使えません。

１つのサーバ(=家)には窓が複数あるのが普通です。
開いている窓と、中のひとが聞き耳をたてる窓は一致している必要があります。
例えば、80番目の窓しか開いてないのに、中の人が間違って8080番目の窓に聞き耳を立てても、会話は成立しません。

ジュリエットが80番目の窓に聞き耳をたてているときに、ジュリエットの妹が22番目窓に聞き耳をたてる、というのは可能です。
webサーバの場合は普通sshdとhttpdの通信を許可しますので、そういう状態になっています。

一方、ジュリエットの妹が、既にジュリエットが張り付いている80番目の窓に聞き耳をたてにいこうとすると、エラーで失敗します。

ジュリエットが80番の窓と443番の窓に聞き耳をたてる、ということは可能です。
よくあるのがApacheが80番ポートと443番ポートをListenしているケースです。