Que veut dire "ouvert" en réalité ici ?

**Ouvert** signifie que le **handshake TCP à trois voies a été complété** : on a envoyé SYN, le serveur a répondu SYN-ACK, on a répondu ACK. C'est la preuve que **quelque chose écoute** et que le firewall laisse passer le paquet. Ça ne signifie **pas** que le service parle le protocole que vous pensez. Le port 443 pourrait être ouvert mais servir du HTTP en clair, ou ouvert mais pas encore en TLS. Ça veut juste dire que la porte est déverrouillée.

Ouvert vs fermé vs filtré, quelle est la différence pratique ?

**Ouvert** : le serveur a accepté le handshake, un service écoute. **Fermé** : le serveur a répondu par TCP RST (ECONNREFUSED), ce qui signifie que l'host est up mais **aucun process n'est lié** à ce port. **Filtré** : on n'a eu **aucune réponse** en 4 secondes, presque toujours un firewall faisant DROP au lieu de REJECT. Fermé vous dit "l'host est sain, le service est down". Filtré vous dit "un firewall est sur le chemin" (ou l'host est complètement hors réseau).

Pourquoi un seul port ? Pourquoi pas un scan complet ?

Un scan de ports complet, c'est **30 000+ sondes** contre un host. Depuis une IP cloud partagée, ça fait blacklister l'IP en quelques heures et c'est aussi illégal dans beaucoup de juridictions sans autorisation écrite. Cet outil est pour le **débogage opérationnel** ("mon seul service est-il up ?"), pas pour la reconnaissance. Si vous avez légitimement besoin d'un scan complet, lancez **nmap** depuis votre propre machine contre votre propre réseau.

Pourquoi certains firewalls font DROP au lieu de REJECT ?

**DROP** (jeter silencieusement) fait paraître l'host hors ligne. **REJECT** (envoyer RST ou ICMP unreachable) dit à l'attaquant "je suis là mais rien n'écoute". Les équipes sécurité préfèrent DROP pour les **services exposés au public** parce que ça ralentit les scanners de ports. Chaque port fermé prend un timeout complet au lieu d'une milliseconde. Le compromis : les tests de connectivité légitimes ressemblent à une panne réseau, on ne peut pas les distinguer.

TCP vs UDP, pourquoi cet outil ne vérifie que TCP ?

**TCP** est orienté connexion : il y a un handshake, un signal clair "accepté" ou "refusé". **UDP** est fire-and-forget : vous envoyez un paquet, personne n'est obligé de répondre. Vérifier un port UDP comme 53 (DNS) ou 123 (NTP) demande de **parler le vrai protocole** parce que "silence" peut signifier soit "ouvert" soit "filtré". Pour HTTP-over-QUIC (UDP 443), utilisez un vrai client HTTP/3. Cet outil reste TCP-only par choix.

Antisèche rapide, qu'est-ce qui tourne sur quel port par défaut ?

Les classiques : **22** SSH, **25** SMTP serveur-à-serveur, **53** DNS, **80** HTTP, **110** POP3, **143** IMAP, **443** HTTPS, **465** SMTPS, **587** soumission SMTP, **993** IMAPS, **995** POP3S. Bases de données : **3306** MySQL/MariaDB, **5432** PostgreSQL, **6379** Redis, **27017** MongoDB, **9200** Elasticsearch. Admin : **3389** RDP, **5900** VNC, **8080**/**8443** serveurs HTTP dev. Liste complète chez IANA, mais ceux-ci couvrent 95 % des vérifs réelles.

Comment lancer un vrai scan depuis mon propre réseau ?

Installez **nmap** (`brew install nmap`, `apt install nmap`, `choco install nmap`). Pour un scan TCP complet d'un host : `nmap -p- -sV votre-serveur.fr`. Pour les 1000 ports les plus courants : `nmap -sV votre-serveur.fr`. Pour UDP : `nmap -sU -p 53,123 votre-serveur.fr` (lent, demande root). **Ayez toujours une autorisation écrite** avant de scanner quoi que ce soit que vous ne possédez pas. Beaucoup de prestataires (AWS, GCP, Hetzner) demandent un préavis même pour vos propres ressources.

Ma vérif de port échoue mais le service marche bien depuis le réseau interne. Pourquoi ?

Presque toujours **une de quatre choses** : (1) Le service est lié à `127.0.0.1` au lieu de `0.0.0.0`, corrigez l'adresse de bind. (2) Un firewall niveau cloud (AWS Security Group, règle firewall GCP, Hetzner Cloud Firewall) bloque l'ingress public. (3) Le firewall host (`ufw`, `firewalld`, Pare-feu Windows) rejette le port. (4) Le NAT ou la redirection de port sur la box ne forwarde pas le port public vers l'host interne. La vérif mono-port vous dit "le monde extérieur ne peut pas atteindre ça", et l'étape suivante est de parcourir chaque couche.

Est-il OK de scanner les serveurs d'autres personnes avec cet outil ?

**Non.** Même une seule connexion TCP au port d'un inconnu peut violer le **Computer Fraud and Abuse Act** (USA), le **Computer Misuse Act** (UK), et des lois similaires dans toute l'UE. Beaucoup de CGU FAI bannissent explicitement le scan de ports. La limite agressive de **30 vérifs par heure par IP** est précisément là pour rendre cet outil utile pour le travail ops légitime et inutile pour le reste. Vérifiez seulement **votre propre** infrastructure, ou des hosts que vous avez l'**autorisation écrite** de sonder.

Vérificateur accessibilité port - gratuit

Vérification de port accessible

Saisissez un hôte et un port. Nous testons depuis notre serveur si le port accepte les connexions TCP. Utile pour vérifier les règles de pare-feu et les services en écoute.

Votre requête arrive sur notre serveur, qui ouvre une connexion TCP unique vers l'hôte fourni. Nous ne stockons aucun historique. Limite de 30 vérifications par heure par IP.

Que fait le vérificateur d'accessibilité de port ?

Tapez un host (domaine ou IP publique) et un port TCP, cliquez sur Vérifier, et notre serveur ouvre une connexion TCP vers cette adresse depuis une IP publique. Vous récupérez une des trois réponses : ouvert (quelque chose écoute), fermé (le serveur a activement rejeté avec un RST), ou filtré (le paquet a disparu, presque toujours un firewall).

Ce n'est pas un scanner de ports. Il vérifie un port à la fois et est limité à 30 vérifications par heure par IP délibérément. C'est le bon outil quand vous venez de redémarrer un service et voulez confirmer que le firewall s'est rouvert, quand SMTP n'accepte pas le mail et que vous voulez éliminer la couche réseau, ou quand un client dit "votre API est injoignable" et que vous voulez un deuxième avis depuis un autre réseau.

Si le serveur salue le client à la connexion (SSH, SMTP, FTP, POP3, IMAP, Redis le font souvent), la première ligne de la bannière est capturée et affichée. Les bannières sont utiles : elles révèlent le logiciel, la version, et parfois l'OS.

Mode d'emploi

Tapez un host : un domaine comme `mail.exemple.fr` ou une IP publique comme `93.184.216.34`. Pas de schéma, pas de chemin. Les adresses privées (`192.168.x`, `10.x`, `127.x`) sont bloquées exprès.

Choisissez un port parmi les pastilles preset (22 SSH, 443 HTTPS, 25 SMTP, etc.) ou tapez n'importe quel nombre de 1 à 65535.

Cliquez sur Vérifier. La sonde prend jusqu'à 5 secondes : 4 s pour le handshake TCP, 1 s d'attente pour une éventuelle bannière.

Lisez la pastille de statut : vert = ouvert, rouge = fermé, ambre = filtré, gris = erreur. Chacune vient avec une explication d'une ligne.

Si le serveur a envoyé une bannière, lisez-la. SSH affiche la version, SMTP affiche le nom du MTA, FTP affiche le daemon. C'est normal et généralement sûr d'exposer.

Quand cet outil est utile

Cinq situations du quotidien où une vérification mono-port bat le SSH sur la machine :

Le firewall s'est-il vraiment ouvert ? Vous avez ajouté une règle dans les AWS Security Groups, Cloudflare, ou ufw et voulez une confirmation rapide depuis l'extérieur.
SMTP écoute-t-il vraiment ? Votre serveur mail prétend que le port 25 est up mais le mail ne passe pas. Vérifiez depuis l'extérieur, parce que beaucoup de FAI et clouds bloquent le 25 sortant par défaut.
Service crashé silencieusement. Votre monitoring l'a raté. Une vérification de 2 secondes vous dit si Postgres, Redis, ou MySQL est joignable du tout.
Le client dit "votre API est down". Son réseau est peut-être le problème. Lancez la même vérif depuis un emplacement neutre et comparez.
Smoke test post-migration. Vous avez déplacé un service vers un nouvel host. Confirmez que SSH (22), HTTPS (443), et tout port personnalisé sont remontés avant de basculer le DNS.

Liés : inspecteur de certificat SSL, consultation DNS, inspecteur d'en-têtes HTTP.

Questions fréquentes

Un port est une porte numérotée sur un serveur. L'adresse IP vous mène au bâtiment, le numéro de port vous mène à un appartement spécifique. 80 est la porte qu'utilise HTTP, 443 c'est HTTPS, 22 c'est SSH, 25 c'est l'email entre serveurs, 3306 c'est MySQL. Chaque service qui écoute se lie à un port. Quand vous vous connectez, votre laptop dit au serveur à quelle porte vous voulez frapper.

Que fait le vérificateur d'accessibilité de port ?

Mode d'emploi

Choisissez un port parmi les pastilles preset (22 SSH, 443 HTTPS, 25 SMTP, etc.) ou tapez n'importe quel nombre de 1 à 65535.

Cliquez sur Vérifier. La sonde prend jusqu'à 5 secondes : 4 s pour le handshake TCP, 1 s d'attente pour une éventuelle bannière.

Lisez la pastille de statut : vert = ouvert, rouge = fermé, ambre = filtré, gris = erreur. Chacune vient avec une explication d'une ligne.

Si le serveur a envoyé une bannière, lisez-la. SSH affiche la version, SMTP affiche le nom du MTA, FTP affiche le daemon. C'est normal et généralement sûr d'exposer.

Quand cet outil est utile

Cinq situations du quotidien où une vérification mono-port bat le SSH sur la machine :

Le firewall s'est-il vraiment ouvert ? Vous avez ajouté une règle dans les AWS Security Groups, Cloudflare, ou ufw et voulez une confirmation rapide depuis l'extérieur.
SMTP écoute-t-il vraiment ? Votre serveur mail prétend que le port 25 est up mais le mail ne passe pas. Vérifiez depuis l'extérieur, parce que beaucoup de FAI et clouds bloquent le 25 sortant par défaut.
Service crashé silencieusement. Votre monitoring l'a raté. Une vérification de 2 secondes vous dit si Postgres, Redis, ou MySQL est joignable du tout.
Le client dit "votre API est down". Son réseau est peut-être le problème. Lancez la même vérif depuis un emplacement neutre et comparez.
Smoke test post-migration. Vous avez déplacé un service vers un nouvel host. Confirmez que SSH (22), HTTPS (443), et tout port personnalisé sont remontés avant de basculer le DNS.

Liés : inspecteur de certificat SSL, consultation DNS, inspecteur d'en-têtes HTTP.

Questions fréquentes

Vérificateur accessibilité port

Que fait le vérificateur d'accessibilité de port ?

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Lookup DNS

Inspecteur certificat SSL

Inspecteur en-têtes HTTP

Vérification readiness IPv6

Détecteur cloud / CDN

Vérificateur accessibilité port

Que fait le vérificateur d'accessibilité de port ?

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Lookup DNS

Inspecteur certificat SSL

Inspecteur en-têtes HTTP

Vérification readiness IPv6

Détecteur cloud / CDN