Co właściwie znaczy "otwarty"?

**Otwarty** znaczy że **handshake TCP się zakończył**: wysłaliśmy SYN, serwer odpowiedział SYN-ACK, my odpowiedzieliśmy ACK. To dowód że **coś nasłuchuje** i że firewall przepuszcza pakiet. To **nie znaczy** że usługa mówi tym protokołem, którego się spodziewasz: port 443 może być otwarty i serwować zwykły HTTP, albo być otwarty bez TLS. Znaczy tylko tyle, że drzwi są otwarte.

Otwarty vs zamknięty vs filtrowany, co to praktycznie znaczy?

**Otwarty**: serwer zaakceptował handshake, usługa nasłuchuje. **Zamknięty**: serwer odpowiedział TCP RST (ECONNREFUSED), czyli host jest na nogach, ale **żaden proces nie jest podpięty** pod ten port. **Filtrowany**: **żadnej odpowiedzi** przez 4 sekundy, prawie zawsze firewall robi DROP zamiast REJECT. Zamknięty mówi "host działa, usługa padła". Filtrowany mówi "firewall blokuje" (albo host jest całkowicie odcięty).

Dlaczego tylko jeden port? Czemu nie pełny skan?

Pełny skan to **ponad 30 000 prób** przeciwko jednemu hostowi. Z wspólnego IP w chmurze takie IP wpada na czarne listy w kilka godzin i jest też nielegalne w wielu jurysdykcjach bez pisemnej zgody. To narzędzie służy do **debugu operacyjnego** ("czy moja jedna usługa działa?"), a nie do rekonesansu. Jeśli naprawdę potrzebujesz pełnego skanu, użyj **nmap** ze swojej maszyny przeciwko swojej sieci.

Dlaczego niektóre firewalle robią DROP zamiast REJECT?

**DROP** (po cichu wyrzuć pakiet) sprawia, że host wygląda jakby był offline. **REJECT** (wyślij RST albo ICMP unreachable) mówi atakującemu "jestem tu, ale nic nie nasłuchuje". Zespoły bezpieczeństwa wolą DROP dla **usług publicznych**, bo to spowalnia skanery: każdy zamknięty port to pełny timeout zamiast milisekundy. Cena: legalne testy łączności wyglądają identycznie jak awaria sieci.

TCP vs UDP, dlaczego tylko TCP?

**TCP** jest połączeniowy: jest handshake, jest jasny sygnał "zaakceptowane" albo "odrzucone". **UDP** jest ślepe: wysyłasz pakiet, nikt nie musi odpowiadać. Sprawdzanie portu UDP typu 53 (DNS) albo 123 (NTP) wymaga **mówienia faktycznym protokołem**, bo "cisza" może oznaczać i "otwarty", i "filtrowany". Dla HTTP-over-QUIC (UDP 443) użyj prawdziwego klienta HTTP/3. To narzędzie celowo trzyma się TCP.

Szybka ściąga, co domyślnie chodzi na którym porcie?

Klasyki: **22** SSH, **25** SMTP serwer do serwera, **53** DNS, **80** HTTP, **110** POP3, **143** IMAP, **443** HTTPS, **465** SMTPS, **587** SMTP submission, **993** IMAPS, **995** POP3S. Bazy: **3306** MySQL/MariaDB, **5432** PostgreSQL, **6379** Redis, **27017** MongoDB, **9200** Elasticsearch. Admin: **3389** RDP, **5900** VNC, **8080**/**8443** developerskie serwery HTTP. Pełna lista u IANA, ale to pokrywa 95% codziennych sprawdzeń.

Jak zrobić prawdziwy skan ze swojej sieci?

Zainstaluj **nmap** (`brew install nmap`, `apt install nmap`, `choco install nmap`). Pełny skan TCP jednego hosta: `nmap -p- -sV twoj-serwer.com`. 1000 najpopularniejszych portów: `nmap -sV twoj-serwer.com`. UDP: `nmap -sU -p 53,123 twoj-serwer.com` (wolne, wymaga root). **Zawsze miej pisemną zgodę** zanim zeskanujesz coś, co do Ciebie nie należy. Wielu dostawców (AWS, GCP, Hetzner) wymaga uprzedzenia nawet dla własnych zasobów.

Test portu nie przechodzi, a usługa na pewno działa w wewnętrznej sieci. Dlaczego?

Prawie zawsze **jedna z czterech rzeczy**: (1) Usługa nasłuchuje na `127.0.0.1` zamiast `0.0.0.0`, popraw bind. (2) Firewall na poziomie chmury (AWS Security Group, GCP firewall rule, Hetzner Cloud Firewall) blokuje publiczny ruch wchodzący. (3) Firewall hosta (`ufw`, `firewalld`, Windows Firewall) odrzuca port. (4) NAT albo port forwarding na routerze nie przekierowuje publicznego portu na wewnętrzny host. Test jednego portu mówi "świat zewnętrzny nie dochodzi do tej usługi", a kolejny krok to przejść po każdej warstwie.

Czy mogę skanować cudze serwery tym narzędziem?

**Nie.** Nawet jedno połączenie TCP do cudzego portu może naruszać polskie **artykuły 267 i 269b kodeksu karnego** (uzyskanie nieuprawnionego dostępu do systemu informatycznego) oraz odpowiedniki w innych krajach UE i USA. Regulaminy wielu ISP wprost zabraniają skanowania portów. Agresywny limit **30 sprawdzeń na godzinę z jednego IP** istnieje właśnie po to, by to narzędzie było użyteczne do uczciwej pracy operacyjnej, a bezużyteczne do czegokolwiek innego. Sprawdzaj wyłącznie **swoją** infrastrukturę albo hosty, na które masz **pisemną zgodę**.

YourDevToolsPro

Sprawdzanie portu online

Sprawdź czy jeden port TCP jest otwarty z internetu. Trzy możliwe wyniki: otwarty, zamknięty, filtrowany przez firewall. Łapie też banner serwera (SSH, SMTP, FTP) jeśli go wysyła.

LiveDziała w przeglądarce

Otwórz jedno połączenie TCP do publicznego hosta i zobacz co odpowie. Otwarty, zamknięty czy filtrowany przez firewall? Pokazuje też banner serwera, jeśli wita się sam.

Twoje zapytanie trafia do naszego serwera, który otwiera jedno połączenie TCP do podanego hosta. Nie zapisujemy historii sprawdzeń. Limit 30 sprawdzeń na godzinę z jednego IP.

Co robi sprawdzanie portu online?

Wpisz host (domenę albo publiczne IP) i port TCP, kliknij Sprawdź, a nasz serwer otworzy jedno połączenie TCP do tego adresu z publicznego IP. W odpowiedzi dostajesz jedną z trzech informacji: otwarty (coś nasłuchuje), zamknięty (serwer aktywnie odrzucił przez RST) albo filtrowany (pakiet zniknął, prawie zawsze firewall).

To nie jest skaner portów. Sprawdza jeden port naraz i celowo ma limit 30 sprawdzeń na godzinę z jednego IP. To narzędzie do operacyjnego debugowania: zrestartowałeś usługę i chcesz potwierdzić że firewall znowu przepuszcza, SMTP nie przyjmuje maili i chcesz wykluczyć warstwę sieci, klient mówi "wasze API nie działa" a Ty chcesz drugą opinię z innej sieci.

Jeśli serwer wita klienta zaraz po połączeniu (tak robią SSH, SMTP, FTP, POP3, IMAP, często Redis), pierwsza linia bannera zostanie wyciągnięta i pokazana. Bannery są przydatne: zdradzają oprogramowanie, wersję, czasem system operacyjny.

Jak używać

Wpisz host: domenę typu `mail.example.com` albo publiczny IP typu `93.184.216.34`. Bez schematu, bez ścieżki. Adresy prywatne (`192.168.x`, `10.x`, `127.x`) są celowo zablokowane.
Wybierz port z presetów (22 SSH, 443 HTTPS, 25 SMTP itp.) albo wpisz dowolną liczbę od 1 do 65535.
Kliknij Sprawdź. Test trwa maksymalnie 5 sekund: 4 s na handshake TCP, 1 s na ewentualny banner.
Przeczytaj status: zielony = otwarty, czerwony = zamknięty, bursztynowy = filtrowany, szary = błąd. Każdy z jednolinijkowym opisem.
Jeśli serwer wysłał banner, przeczytaj go. SSH pokazuje wersję, SMTP nazwę MTA, FTP nazwę demona. To normalne i zwykle bezpieczne do pokazywania.

Kiedy się przydaje

Pięć codziennych sytuacji, gdzie szybki test jednego portu wygrywa z logowaniem na serwer:

Czy firewall faktycznie się otworzył? Dodałeś regułę w AWS Security Groups, Cloudflare albo ufw i chcesz szybkie potwierdzenie z zewnątrz.
Czy SMTP naprawdę nasłuchuje? Serwer mailowy twierdzi że port 25 jest podniesiony, ale maile nie chodzą. Sprawdź z zewnątrz, bo wielu ISP i providerów chmury blokuje wychodzący port 25.
Usługa padła po cichu. Monitoring tego nie złapał. Dwusekundowy test mówi, czy Postgres, Redis albo MySQL w ogóle odpowiada.
Klient mówi "wasze API nie działa". Może problem jest w jego sieci. Zrób ten sam test z neutralnej lokalizacji i porównaj.
Smoke test po migracji. Przeniosłeś usługę na nowy host. Potwierdź że SSH (22), HTTPS (443) i własne porty wstały, zanim przełączysz DNS.

Powiązane: sprawdzanie certyfikatu SSL, sprawdzanie DNS, inspector nagłówków HTTP.

Pytania i odpowiedzi

Port to ponumerowane drzwi w serwerze. Adres IP prowadzi do budynku, numer portu do konkretnego mieszkania. 80 to drzwi HTTP, 443 to HTTPS, 22 to SSH, 25 to mail między serwerami, 3306 to MySQL. Każda nasłuchująca usługa wiąże się z jednym portem. Łącząc się, Twój komputer mówi serwerowi do których drzwi chce zapukać.

Mogą Cię też zainteresować

Powiązane narzędzia

Sprawdzanie DNS

Sprawdź rekordy DNS domeny (A, AAAA, MX, TXT, CNAME, NS, SOA, CAA), zobacz propagację w 8 publicznych resolverach i namierz ASN/ISP serwera bez terminala.

Sprawdzanie certyfikatu SSL

Wpisz domenę, dostań pełny łańcuch certyfikatów SSL: dni do wygaśnięcia, klucz publiczny, podpis, SAN, fingerprinty i alerty bezpieczeństwa.

Inspektor nagłówków HTTP

Wklej adres, zobacz wszystkie nagłówki odpowiedzi, łańcuch przekierowań z czasami i ocenę bezpieczeństwa A-F z konkretnymi rekomendacjami.

Gotowość IPv6

Sprawdź jak Twoja domena radzi sobie z IPv6. Test 5 sygnałów (AAAA, www, MX, NS, TLS po v6), wynik 0-100, ocena literowa A-F i konkretne wskazówki co naprawić.

Detektor CDN i chmury

Wpisz domenę, dowiedz się kto ją hostuje, jaki CDN stoi z przodu, czyj jest DNS i czy chroni ją WAF. Cztery niezależne źródła, etykieta pewności przy każdym wyniku.

Sprawdzanie portu online

Sprawdź czy jeden port TCP jest otwarty z internetu. Trzy możliwe wyniki: otwarty, zamknięty, filtrowany przez firewall. Łapie też banner serwera (SSH, SMTP, FTP) jeśli go wysyła.

LiveDziała w przeglądarce

Sprawdzanie portu online

Otwórz jedno połączenie TCP do publicznego hosta i zobacz co odpowie. Otwarty, zamknięty czy filtrowany przez firewall? Pokazuje też banner serwera, jeśli wita się sam.

Twoje zapytanie trafia do naszego serwera, który otwiera jedno połączenie TCP do podanego hosta. Nie zapisujemy historii sprawdzeń. Limit 30 sprawdzeń na godzinę z jednego IP.

Co robi sprawdzanie portu online?

Jak używać

Wpisz host: domenę typu `mail.example.com` albo publiczny IP typu `93.184.216.34`. Bez schematu, bez ścieżki. Adresy prywatne (`192.168.x`, `10.x`, `127.x`) są celowo zablokowane.
Wybierz port z presetów (22 SSH, 443 HTTPS, 25 SMTP itp.) albo wpisz dowolną liczbę od 1 do 65535.
Kliknij Sprawdź. Test trwa maksymalnie 5 sekund: 4 s na handshake TCP, 1 s na ewentualny banner.
Przeczytaj status: zielony = otwarty, czerwony = zamknięty, bursztynowy = filtrowany, szary = błąd. Każdy z jednolinijkowym opisem.
Jeśli serwer wysłał banner, przeczytaj go. SSH pokazuje wersję, SMTP nazwę MTA, FTP nazwę demona. To normalne i zwykle bezpieczne do pokazywania.

Kiedy się przydaje

Pięć codziennych sytuacji, gdzie szybki test jednego portu wygrywa z logowaniem na serwer:

Czy firewall faktycznie się otworzył? Dodałeś regułę w AWS Security Groups, Cloudflare albo ufw i chcesz szybkie potwierdzenie z zewnątrz.
Czy SMTP naprawdę nasłuchuje? Serwer mailowy twierdzi że port 25 jest podniesiony, ale maile nie chodzą. Sprawdź z zewnątrz, bo wielu ISP i providerów chmury blokuje wychodzący port 25.
Usługa padła po cichu. Monitoring tego nie złapał. Dwusekundowy test mówi, czy Postgres, Redis albo MySQL w ogóle odpowiada.
Klient mówi "wasze API nie działa". Może problem jest w jego sieci. Zrób ten sam test z neutralnej lokalizacji i porównaj.
Smoke test po migracji. Przeniosłeś usługę na nowy host. Potwierdź że SSH (22), HTTPS (443) i własne porty wstały, zanim przełączysz DNS.

Powiązane: sprawdzanie certyfikatu SSL, sprawdzanie DNS, inspector nagłówków HTTP.

Pytania i odpowiedzi

Mogą Cię też zainteresować