Vérificateur de port réseau
Référentiel des ports TCP/UDP les plus courants, outils pour vérifier leur accessibilité depuis Internet et guide sur les firewalls.
Référentiel des ports réseau
Ports TCP/UDP courants et outils pour tester leur accessibilité.
Limitation navigateur. Un navigateur ne peut pas établir des connexions TCP/UDP arbitraires. Pour vérifier si un port est ouvert depuis Internet, utilisez les outils en ligne listés ci-dessous.
| Port | Proto | Service |
|---|---|---|
| 21 | TCP | FTP |
| 22 | TCP | SSH |
| 25 | TCP | SMTP |
| 53 | TCP/UDP | DNS |
| 80 | TCP | HTTP |
| 110 | TCP | POP3 |
| 143 | TCP | IMAP |
| 443 | TCP | HTTPS |
| 465 | TCP | SMTPS |
| 587 | TCP | SMTP TLS |
| 993 | TCP | IMAPS |
| 995 | TCP | POP3S |
| 2082 | TCP | cPanel HTTP |
| 2083 | TCP | cPanel HTTPS |
| 2086 | TCP | WHM HTTP |
| 2087 | TCP | WHM HTTPS |
| 3306 | TCP | MySQL |
| 5432 | TCP | PostgreSQL |
| 6379 | TCP | Redis |
| 8080 | TCP | HTTP Alt |
| 8443 | TCP | HTTPS Alt |
Vérifier l'accessibilité d'un port depuis Internet
Qu'est-ce qu'un port réseau ?
Dans le modèle de communication TCP/IP, un port réseau est un identifiant numérique (de 0 à 65535) associé à une connexion réseau qui permet de distinguer différents services fonctionnant sur une même adresse IP. Si l'adresse IP identifie la machine sur le réseau, le port identifie le service ou l'application spécifique à qui les données sont destinées.
Par analogie, l'adresse IP est comme l'adresse d'un immeuble, et le port est le numéro d'appartement. Un serveur web hébergeant plusieurs services écoute simultanément sur plusieurs ports : 80 (HTTP), 443 (HTTPS), 22 (SSH), 3306 (MySQL), etc.
TCP vs UDP : les deux protocoles de transport
Les ports réseau fonctionnent sur deux protocoles de la couche transport :
- TCP (Transmission Control Protocol) : protocole orienté connexion, fiable. Avant d'envoyer des données, TCP établit une connexion via un three-way handshake (SYN, SYN-ACK, ACK). Il garantit que tous les paquets arrivent à destination dans le bon ordre et sans erreur. Utilisé par HTTP/HTTPS, FTP, SSH, SMTP, MySQL. La fiabilité a un coût en latence.
- UDP (User Datagram Protocol) : protocole sans connexion, non fiable mais très rapide. Les paquets sont envoyés sans vérification de réception — ils peuvent arriver dans le désordre ou être perdus. Utilisé par DNS (port 53), DHCP, VoIP, streaming vidéo, jeux en ligne, et les protocoles modernes comme QUIC (HTTP/3).
Les catégories de ports
L'IANA (Internet Assigned Numbers Authority) divise les ports en trois plages :
- Well-Known Ports (0–1023) : réservés aux services système et aux protocoles standardisés. Nécessitent des privilèges root pour écouter sur ces ports sur Unix/Linux. Ex : 80 (HTTP), 443 (HTTPS), 22 (SSH), 25 (SMTP).
- Registered Ports (1024–49151) : enregistrés par l'IANA pour des applications spécifiques mais peuvent être utilisés par d'autres services. Ex : 3306 (MySQL), 5432 (PostgreSQL), 6379 (Redis), 8080 (HTTP alternatif).
- Dynamic / Ephemeral Ports (49152–65535) : utilisés temporairement par le système d'exploitation pour les connexions sortantes (ports clients).
Firewalls et règles de filtrage
Un firewall (pare-feu) est un système qui filtre le trafic réseau selon des règles définies. Pour les serveurs web, la politique de base est la suivante : bloquer tout, puis ouvrir uniquement les ports nécessaires.
Configuration typique pour un serveur web hébergeant des sites et de la messagerie :
- Ports 80 et 443 : ouverts en entrée (HTTP et HTTPS)
- Port 22 : ouvert en entrée uniquement depuis des IPs de confiance (accès SSH administrateur)
- Ports 25, 587, 993, 995 : ouverts pour la messagerie (SMTP, IMAP, POP3)
- Port 3306 (MySQL) : fermé en entrée depuis Internet, accessible uniquement en local (127.0.0.1) ou via SSH tunnel
- Tous les autres ports : bloqués par défaut
CSF, iptables et firewalld : les outils de gestion
Sur les serveurs Linux, plusieurs outils permettent de gérer les règles de firewall :
- CSF (ConfigServer Security & Firewall) : firewall populaire sur cPanel/WHM, avec interface graphique intuitive, protection brute-force, liste blanche d'IPs et rate limiting. C'est l'outil que nous utilisons sur nos serveurs dédiés et VPS managés.
- iptables / nftables : outils bas niveau de filtrage de paquets du noyau Linux. Puissants mais complexes à configurer manuellement.
- UFW (Uncomplicated Firewall) : interface simplifiée pour iptables, populaire sur Ubuntu.
- firewalld : solution dynamique utilisée sur CentOS/RHEL/Fedora.
Pourquoi un port peut-il sembler fermé ?
Plusieurs raisons peuvent expliquer qu'un port semble inaccessible depuis Internet :
- Le service n'écoute pas : le serveur (Apache, Nginx, MySQL…) n'est pas démarré ou n'écoute pas sur cette interface réseau.
- Le firewall bloque le port : iptables/CSF/nftables rejette les paquets entrants sur ce port.
- Le provider réseau filtre le port : certains FAI et hébergeurs bloquent par défaut certains ports (ex : le port 25 SMTP est souvent bloqué chez les hébergeurs sans serveur de messagerie configuré).
- Une règle NAT n'est pas configurée : dans un environnement virtualisé ou derrière un routeur, la translation d'adresses (NAT) doit rediriger le port public vers la machine cible.
Sécuriser l'accès SSH : changer le port par défaut
Le port SSH 22 est constamment ciblé par des attaques par brute-force automatisées. Une mesure de sécurité courante est de déplacer SSH sur un port non standard (ex : 2222, 22222). Cette security by obscurity ne rend pas SSH plus sécurisé intrinsèquement, mais réduit considérablement le bruit dans les logs et la charge des tentatives automatisées. À combiner absolument avec l'authentification par clé SSH (désactivation du mot de passe) et le fail2ban.