Outil de Vérification de Port
Vérifiez si des ports spécifiques sont ouverts sur une adresse IP ou un domaine
Vérifier jusqu'à 20 ports à la fois
Entrez une adresse IP et des numéros de port, puis cliquez sur "Vérifier les Ports"
Qu'est-ce qu'un Vérificateur de Ports ?
Le vérificateur de port teste si un port réseau précis d’un hôte semble joignable. Les ports représentent des services comme HTTP, HTTPS, SSH, SMTP, bases de données ou applications internes; si un port ne répond pas, la cause peut être l’état du serveur, un firewall, NAT, DNS, routage, groupes de sécurité cloud ou un service lié seulement à localhost. L’outil sert aux contrôles de déploiement, au dépannage, au monitoring et à confirmer si un service est visible depuis l’extérieur. Un port ouvert ne signifie pas que l’application est saine ou sûre, et un port fermé n’indique pas seul la cause exacte. Une analyse sécurité demande protocole, authentification, configuration et exposition.
Mode d'emploi
Comment l'utiliser
- Saisissez l'adresse du serveur cible dans le champ IP/Nom de domaine
- Entrez les numéros de port à vérifier, séparés par des virgules
- Ou utilisez les boutons de remplissage rapide pour les ports courants
- Cliquez sur « Vérifier les ports » et attendez les résultats
- Consultez l'état de chaque port, le temps de réponse et les éventuels messages d'erreur
Interprétation réseau
- Un résultat fermé ou filtré peut être causé par un pare-feu, un NAT, un blocage FAI, une liaison de service ou une mauvaise adresse d'hôte.
- Effectuez la vérification depuis le même chemin réseau que celui de vos utilisateurs ; la visibilité des ports en interne et en externe peut différer.
Cas d’utilisation
Principe technique
La vérification de port tente d'établir des connexions TCP vers des ports spécifiés sur un hôte cible. Un handshake TCP en trois étapes réussi (SYN, SYN-ACK, ACK) indique que le port est ouvert et qu'un service écoute. Si la connexion est refusée (RST, reset), le port est fermé (aucun service). Si aucune réponse n'arrive (timeout), le port peut être filtré par un pare-feu ou un NAT, ou l'hôte peut être hors ligne. Un vérificateur de ports basé sur le navigateur est fondamentalement limité : le navigateur ne peut pas envoyer de paquets TCP SYN bruts, il utilise donc une méthode de contournement. Les méthodes courantes : 1) requête HTTP HEAD ou GET sur le port et vérification du code de réponse (fonctionne pour les proxies HTTP/HTTPS sur ports inhabituels, 80, 8080, etc.) ; 2) upgrade WebSocket vers le port et vérification du résultat du handshake (fonctionne pour la plupart des serveurs car WebSocket commence en HTTP puis effectue un upgrade) ; 3) requêtes de chargement d'image (le navigateur récupère une image 1x1 depuis http://host:port/ et la connexion réussit ou échoue) ; 4) sondes sans connexion (le navigateur tente de récupérer favicon, robots.txt ou un chemin connu et déduit le résultat). La page utilise l'approche WebSocket comme sonde principale : 1) construction de ws://host:port/ ou wss://host:port/, 2) appel de new WebSocket(url), 3) mesure du temps jusqu'à onopen (ouvert) ou onerror (fermé/filtré). Le délai de 1 à 3 secondes distingue ouvert (immédiat), fermé (refus rapide) et filtré (timeout). La page affiche les trois états avec la latence. Plages de ports : 0-1023 sont les ports connus (HTTP 80, HTTPS 443, SSH 22, FTP 21, SMTP 25, DNS 53, POP3 110, IMAP 143, etc.), 1024-49151 sont les ports enregistrés (souvent utilisés par des applications comme les bases de données, services personnalisés), 49152-65535 sont les ports dynamiques/privés (utilisés par le système d'exploitation pour les connexions sortantes, souvent des ports source). Le port 0 est réservé (le système d'exploitation choisit un port éphémère lors de la liaison à 0). La page permet à l'utilisateur de choisir un seul port, une liste de ports courants ou une plage personnalisée. Mise en garde : une vérification basée sur le navigateur ne voit que ce que le navigateur peut atteindre. En sondant derrière un proxy d'entreprise ou un NAT, vous pouvez obtenir un résultat filtré pour des ports qui sont réellement ouverts sur la destination. La page n'est intentionnellement pas un outil d'audit de sécurité ; l'utilisateur doit utiliser nmap, masscan ou ZMap pour cela, qui s'exécutent sur un hôte avec accès aux sockets bruts.
- Handshake TCP en trois étapes : SYN, SYN-ACK, ACK = ouvert ; RST = fermé ; timeout = filtré ou hôte hors ligne ; c'est l'interprétation standard.
- Contournements navigateur : sondes HTTP HEAD/GET (ports inhabituels), upgrade WebSocket (la plupart des serveurs), chargement d'images, favicon/robots.txt ; la page utilise WebSocket comme méthode principale.
- Plages de ports : 0-1023 ports connus (HTTP 80, HTTPS 443, SSH 22), 1024-49151 enregistrés, 49152-65535 dynamiques ; le port 0 est réservé.
- Le délai distingue les états : immédiat = ouvert, refus rapide = fermé, pas de réponse = filtré ; la page utilise un délai de 1 à 3 secondes.
- Limitations du navigateur : impossible d'envoyer des SYN bruts, donc impossible de faire un scan TCP complet (SYN scan, FIN scan, NULL scan, XMAS scan) ; la page est approximative.
- Ce n'est pas un outil de sécurité : pour les tests de pénétration, utilisez nmap, masscan ou ZMap sur un hôte avec accès aux sockets bruts ; la page est une vérification rapide, pas un audit de sécurité.
- Ports courants : HTTP 80, HTTPS 443, SSH 22, FTP 21, SMTP 25, DNS 53, POP3 110, IMAP 143, MySQL 3306, PostgreSQL 5432, Redis 6379, MongoDB 27017.
Exemples
Accessibilité d'un serveur web
Hôte : example.com
Ports : 80 (HTTP), 443 (HTTPS)
Résultat : tous deux ouverts, le serveur web répond
Usage : vérifier qu'un site public est accessible depuis Internet ; une réponse 200/301 indique que la stack est saineTest d'accès SSH
Hôte : server.example.com
Port : 22 (SSH)
Résultat : ouvert, le service SSH accepte les connexions
Usage : vérifier que le bastion ou le jump host est accessible avant la connexion par clé ; à combiner avec la vérification des identifiants côté client SSHExposition d'un port de base de données
Hôte : db.example.com
Port : 3306 (MySQL)
Résultat : fermé, MySQL n'est pas exposé à l'extérieur
Usage : bonne posture de sécurité ; les bases de données ne devraient être accessibles que depuis le réseau applicatif, pas depuis InternetFAQ
Comment fonctionne la vérification de port ?
Les navigateurs ne peuvent pas ouvrir de sockets TCP arbitraires vers des hôtes distants, donc cet outil émet la vérification depuis notre backend. Nous tentons une connexion TCP (ou une sonde HTTP pour les ports applicatifs comme 80/443) et rapportons le succès, l'échec et le temps de réponse. Votre IP n'est pas montrée à la cible : c'est notre serveur qui l'est.
Que signifient « ouvert », « fermé » et « filtré » ?
Ouvert : le port accepte les connexions. Fermé : l'hôte a répondu par un TCP RST (refus). Filtré : aucune réponse (le pare-feu a abandonné le SYN). Seul « ouvert » signifie qu'un service est joignable. Fermé et filtré signifient tous deux injoignable, mais pour des raisons différentes.
Puis-je vérifier les ports de mon routeur domestique ?
Oui : entrez votre IP publique et le numéro de port. Utile pour confirmer qu'un serveur de jeu hébergé, un NAS ou un service auto-hébergé est réellement exposé sur Internet. Notez que les FAI résidentiels bloquent souvent les ports entrants (25, 80, 443) quel que soit votre pare-feu.
La vérification fonctionne-t-elle pour UDP ?
TCP uniquement dans la plupart des versions. UDP est sans connexion ; l'absence de réponse ne signifie pas nécessairement fermé. Pour les vérifications de services UDP, vous avez besoin de sondes au niveau applicatif (par exemple une requête DNS pour le port 53/udp), ce que nmap fait en mode détection de service.
Et les ports LAN locaux (192.168.x.x) ?
Notre backend ne peut pas atteindre votre LAN privé. Utilisez la commande `nc -zv host port` réelle depuis un appareil de votre réseau, ou lancez un scanner de ports depuis un autre appareil du LAN.
Est-il légal d'exécuter cela sur n'importe quel hôte ?
Le scan de ports est généralement légal pour les hôtes que vous possédez. Scanner des hôtes qui ne vous appartiennent pas peut violer les lois sur l'utilisation abusive d'ordinateurs, les conditions d'utilisation et les politiques des FAI selon la juridiction. N'utilisez pas cela pour scanner opportunément des IP arbitraires.
Pourquoi le port 22 / 3389 / 25 apparaît-il toujours fermé ?
De nombreux FAI et fournisseurs cloud bloquent par défaut les ports communément attaqués. Les groupes de sécurité cloud (AWS, Azure, GCP) bloquent aussi par défaut. Si vous attendez qu'un port soit ouvert, vérifiez le pare-feu, la NAT/redirection de port et les règles de groupe de sécurité à chaque saut.