Quels sont mes Ports Ouverts

Cet outil demande à notre serveur d'ouvrir une connexion TCP vers l'adresse IP publique que votre navigateur a utilisée pour charger la page, sur le port de votre choix. Cela reflète ce que n'importe quel hôte sur Internet voit lorsqu'il sonde votre routeur, et non ce que montrent les analyses localhost au sein de votre réseau local (LAN). J'ai rédigé ce texte après un véritable week-end de galère : l'accès distant Plex restait rouge parce que mon FAI pakistanais m'avait placé derrière un CGNAT. Ainsi, la redirection du port TCP 32400 sur le routeur n'atteignait jamais mon NAS, bien que le service fonctionne parfaitement en local. Ci-dessous, j'explique ce que signifient les trois statuts, quels ports sont importants et comment vérifier la redirection sans deviner.

Ce que fait cet outil (et ce qu'il ne peut pas faire)

Pour des raisons de sécurité, le JavaScript dans le navigateur ne peut pas initier de connexions TCP arbitraires vers votre IP publique. Notre route /api/open-ports lit votre adresse à partir de CF-Connecting-IP (ou X-Forwarded-For) et effectue une connexion sortante de trois secondes depuis notre infrastructure. Les résultats sont open (établissement de connexion réussi), closed (RST immédiat : rien n'écoute) ou filtered(délai d'attente dépassé : le pare-feu ou le NAT a rejeté le paquet SYN).

Limites à prendre en compte : TCP uniquement(pas de ports de jeux UDP), un seul port par requête, uniquement votre adresse IP publique actuelle (pas d'analyse de tiers), et zones d'ombre lorsque vous êtes sur un VPN (nous interrogeons la sortie du VPN, pas votre routeur domestique) ou derrière un CGNAT (aucune redirection entrante possible). Déconnectez le VPN avant de tester la redirection de port à domicile.

Ports courants et plages de l'IANA

Les ports sont des nombres de 16 bits (de 1 à 65535). Le RFC 6335 les divise en ports bien connus (de 0 à 1023, privilégiés sous Unix), enregistrés (de 1024 à 49151) et dynamiques/éphémères (de 49152 à 65535) utilisés pour les connexions temporaires côté client.

Lorsque vous naviguez sur le Web, votre système d'exploitation choisit localement un port éphémère élevé pour communiquer avec le port distant 443. Les vérifications entrantes comme celle de cette page inversent le sens de communication : Internet frappe au numéro de port de votre IP publique.

Ports par défaut pour les services courants

Service	Port	Protocole	Motif typique de blocage
HTTP	80	TCP	Filtrage entrant du FAI ; conditions d'utilisation résidentielles
HTTPS	443	TCP	Idem ; souvent autorisé sur les lignes professionnelles
SSH	22	TCP	Risque d'attaque par force brute ; certains FAI bloquent le trafic entrant
FTP	21	TCP	Protocole hérité en texte clair ; problèmes de NAT avec le mode passif
SMTP	25	TCP	Anti-spam : bloqué sur la plupart des IP résidentielles
MySQL	3306	TCP	Ne devrait jamais être public ; pare-feu par défaut
PostgreSQL	5432	TCP	Identique aux bases de données ci-dessus
RDP	3389	TCP	Cible constante des scanners de ports ; utilisez un VPN à la place
Minecraft Java	25565	TCP	Nécessite une redirection + une règle de pare-feu pour l'édition Java
Plex	32400	TCP	Le CGNAT bloque la redirection manuelle ; utilisez le relais ou l'IPv6

Pourquoi un port apparaît fermé ou filtré alors que vous l'avez ouvert

Filtrage du FAI :le port SMTP entrant (25) est bloqué presque partout sur les connexions résidentielles. Certains FAI bloquent également le port 80 pour l'hébergement.
CGNAT :votre routeur partage une adresse publique avec vos voisins ; il n'y a pas de redirection entrante unique à moins de payer pour une IP fixe ou d'utiliser un service de tunnel.
Adresse de liaison de l'application : un service qui écoute uniquement sur 127.0.0.1est invisible de l'extérieur, même si le pare-feu autorise le port.
Pare-feu de l'hôte : Windows Defender, ufw ou iptablespeuvent rejeter les paquets SYN avant qu'ils n'atteignent le démon.
Double NAT : un modem FAI associé à votre propre routeur sans mode pont redirige vers le mauvais saut.

La redirection de port expliquée simplement

Votre routeur effectue la traduction entre une adresse IP publique unique et plusieurs adresses LAN privées. Une règle de redirection indique : "lorsqu'un paquet SYN arrive sur le port public 32400, envoie-le vers 192.168.1.50:32400." Le DNS dynamique (DDNS) est utile lorsque votre IP publique change régulièrement. L'IPv6, avec une adresse globale pour chaque appareil, permet de s'affranchir du NAT, mais vous devez configurer le pare-feu de chaque hôte car les adresses sont routables depuis Internet par défaut.

Tester depuis la ligne de commande

Les vérification locales prouvent que le service écoute ; les vérifications externes prouvent que la route via le NAT fonctionne. Utilisez les deux.

# Sonde TCP rapide (GNU netcat)
nc -zv 192.168.1.50 32400

# Test d'écoute sur le serveur
nc -l 8080

# nmap : scannez uniquement les réseaux qui vous appartiennent ou pour lesquels vous avez une autorisation écrite
nmap -Pn -p 22,80,443,32400 VOTRE_IP_PUBLIQUE

La commande héritée telnet host port fonctionne encore sur certains systèmes mais est souvent absente. Remplacez-la par nc ou curl -v telnet://host:port si disponible.

Sécurité : ce que révèlent les ports ouverts

Les ports ouverts répondent à deux questions pour un attaquant : y a-t-il un service qui écoute, et quelle empreinte logicielle répond lors de la connexion. Exécuter SSH sur le port par défaut 22 n'est pas dangereux en soi si l'authentification par clé uniquement et fail2ban sont configurés, mais cela génère du bruit. Exposer des bases de données sans VPN n'est jamais acceptable. Placez les panneaux d'administration derrière Tailscale, WireGuard ou, a minima, des listes d'IP autorisées.

Questions fréquemment posées

Pourquoi le port 25 est-il bloqué par mon FAI ?

Le port SMTP sortant et entrant sur les réseaux résidentiels est restreint pour stopper le spam par botnet. Utilisez le relais authentifié de votre fournisseur sur le port de soumission 587 ou une API de messagerie transactionnelle au lieu d'exécuter un serveur de messagerie domestique sur le port 25.

Comment ouvrir un port sur mon routeur ?

Connectez-vous à l'interface d'administration du routeur, recherchez Serveur Virtuel / Redirection de ports (Port Forwarding), mappez le port TCP externe vers l'IP LAN et le port interne de votre machine, et attribuez à cette machine une réservation DHCP pour que son IP ne change pas. Vérifiez ensuite depuis l'extérieur avec cet outil, et pas seulement depuis le réseau local.

Est-il dangereux d'avoir des ports ouverts ?

Les services intentionnels (HTTPS sur 443) sont normaux. Les ports de base de données ou RDP ouverts de manière inattendue présentent un risque élevé. "Filtré" est le comportement par défaut le plus sûr pour les utilisateurs à domicile : cela signifie qu'Internet ne peut pas atteindre votre hôte même si un logiciel malveillant tente d'écouter ultérieurement.

Quelle est la différence entre les ports TCP et UDP ?

Ce sont des espaces de noms distincts. TCP fournit des flux de données fiables (HTTP, SSH, RDP). UDP fonctionne par paquets (DNS, QUIC, de nombreux jeux). Cet outil teste uniquement le protocole TCP ; un jeu indiquant un port UDP ouvert dans son client n'a aucun lien avec ces résultats.

Pourquoi cet outil indique-t-il que mon port est fermé alors que je l'ai ouvert ?

Causes fréquentes : redirection vers la mauvaise IP LAN, service lié à localhost uniquement, double NAT, CGNAT sans IP publique, pare-feu de l'hôte, ou test effectué alors que vous êtes connecté à un VPN (ce qui nous fait scanner le serveur VPN à la place de votre domicile). Résolvez le problème couche par couche : écoute locale, connexion LAN, puis cette vérification externe.

Adresse publique : Quelle est mon IP. Propriétaire du réseau : Quel est mon FAI. Qualité de la liaison : Quelle est ma latence.

Sources citées ci-dessus

RFC 6335: Procédures de gestion des ports de l'Internet Assigned Numbers Authority (IANA)
Registre IANA des noms de services et numéros de ports
RFC 6598: Espace d'adressage partagé (CGNAT)

Common questions

Why is port 25 blocked by my ISP?

Outbound and inbound SMTP on residential networks is restricted to stop botnet spam. Use your provider's authenticated relay on submission port 587 or a transactional email API instead of running a home mail server on port 25.

How do I open a port on my router?

Log into the router admin UI, find Virtual Server / Port Forwarding, map external TCP port to the LAN IP and internal port of your machine, and assign that machine a DHCP reservation so the IP does not drift. Then verify from outside with this tool, not only from the LAN.

Is having open ports dangerous?

Intentional services (HTTPS on 443) are normal. Unexpected open database or RDP ports are high risk. Filtered is the safest default for home users; it means the internet cannot reach your host even if malware later tries to listen.

What's the difference between TCP and UDP ports?

They are separate namespaces. TCP provides reliable byte streams (HTTP, SSH, RDP). UDP is datagram-based (DNS, QUIC, many games). This tool tests TCP only; a game showing UDP open in its client is unrelated to these results.

Why does this tool say my port is closed when I opened it?

Common causes: forwarding to the wrong LAN IP, service bound to localhost, double NAT, CGNAT with no public address, host firewall, or testing while connected to VPN so we scan the VPN server instead of your home. Fix one layer at a time: local listen, LAN connect, then this external check.

Consultez également ces outils

🌐Quelle est mon IPAffichez instantanément votre adresse IPv4 et/ou IPv6 publique avec les détails du FAI, de la ville et du pays.→📡Quel est mon FAIDécouvrez quel fournisseur d'accès Internet (FAI) ou organisation est associé à votre IP publique.→🔷Quel est mon DNSRecherchez les enregistrements DNS publics A et AAAA à l'aide de Cloudflare DNS over HTTPS.→📶Quelle est ma LatenceMesurez le temps de trajet aller-retour HTTPS depuis votre navigateur vers ce site (ping pratique).→🛜Quel est mon Type de RéseauDétectez si vous êtes sur Wi-Fi, cellulaire ou Ethernet, avec la classe de vitesse estimée par l'API Network Info.→🔐Fuite VPN / Est-ce que je fuite?Comparez votre IP visible en HTTP avec les adresses WebRTC ICE pour repérer d'éventuelles fuites d'IP.→⚡Test de Vitesse InternetTestez vos vitesses de téléchargement et d'envoi avec un test de vitesse rapide et précis dans le navigateur.→🖥️Quel est mon NavigateurDétectez le nom, la version, le moteur et le système d'exploitation de votre navigateur en un clic.→🔍Quel est mon User AgentConsultez la chaîne d'agent utilisateur complète que votre navigateur envoie aux sites Web.→🍪Statut des Cookies et du SuiviVérifiez si les cookies internes et le stockage web fonctionnent, ainsi que les signaux DNT/GPC.→📐Quelle est ma Résolution d'ÉcranVérifiez votre résolution d'écran, profondeur de couleur, rapport de pixels et taille de fenêtre d'affichage.→🎮Quel est mon WebGL / GPUDétectez votre moteur de rendu GPU, votre fournisseur, la version de WebGL et les capacités graphiques.→📍Quelle est ma PositionDécouvrez votre position approximative basée sur votre adresse IP, y compris la ville et le pays.→🕐Quel est mon Fuseau HoraireTrouvez votre fuseau horaire actuel, décalage UTC et heure locale avec le statut de l'heure d'été.→