port 443 filtré (root) ou fermé (user)

tony · 19 janv. 2026, 13:52

salut,
En testant la commande "nmap" j'ai eu une surprise à propos de ce port 443:

~$ nmap -p443 192.xxx
Starting Nmap 7.98 ( https://nmap.org ) at 2026-01-19 07:18 -0500
Nmap scan report for xxx (192.xxxx)
Host is up (0.000050s latency).

PORT    STATE  SERVICE
443/tcp closed https

~# nmap -p443 192xxxx
Starting Nmap 7.98 ( https://nmap.org ) at 2026-01-19 07:19 -0500
Nmap scan report for xxxx (192.xxxxxx)
Host is up.

PORT    STATE    SERVICE
443/tcp filtered https

1- Le manuel indique, pour un port fermé:

Code : Tout sélectionner

Les ports fermés n'ont pas d'application en écoute, bien qu'ils
       puissent quand même s'ouvrir n'importe quand.

Là, j'ai un doute: cela signifie-t-il que 443 est normalement fermé en écoute et ne s'ouvre que si des paquets se présentent à son entrée? Sinon comment pourrait-on surfer sur le net?

2- Pour un port filtré:

Code : Tout sélectionner

Filtré indique qu'un pare-feu, un
       dispositif de filtrage ou un autre obstacle réseau bloque ce port, empêchant ainsi Nmap de déterminer s'il s'agit d'un port ouvert ou fermé.

De quel pare-feu s'agit-il, comme je n'en ai pas je suppose qu'il s'agit de celui de la Livebox. Problème, <root> ou <user> le pare-feu ne fait aucune différence.

19 janv. 2026, 15:50

Bonjour,
pour que les requêtes entrantes passent il faut que le port soit ouvert et que quelque chose soit en écoute dessus.
Vérifie si tu n'as pas ufw d'installé.

tony · 19 janv. 2026, 17:28

piratebab a écrit : 19 janv. 2026, 15:50 Bonjour,
pour que les requêtes entrantes passent il faut que le port soit ouvert et que quelque chose soit en écoute dessus.
Vérifie si tu n'as pas ufw d'installé.

Code : Tout sélectionner

$ ap ufw
ufw:
  Installed: (none)
  Candidate: 0.36.2-9
  Version table:
     0.36.2-9 500
        500 http://deb.debian.org/debian trixie/main amd64 Packages

aucun problème avec internet. J'ai exactement la même situation avec forky installé sur une clé USB. Le petit cadenas indiquant le chiffrement de la connexion est bien présent.

PS: pas très sûr mais je pense que les connexions internet entrantes dans mon ordi, à partir de la Livebox ne passent pas par le port 443 si j'en crois ceci:

Code : Tout sélectionner

$ ss | grep '192.168*'
..............
udp   ESTAB      0      0                                                <mon portable>:33968        192.168.1.1:domain 
tcp   CLOSE-WAIT 0      0                                            <mon portable>:56900        80.12.24.10:imaps  
tcp   CLOSE-WAIT 0      0                                            <mon portable>:38398        80.12.24.10:imaps  
tcp   ESTAB      0      0                                                  <mon portable>:34.107      34.107.243.93:https  
tcp   CLOSE-WAIT 0      0                                             <mon portable>:47212        80.12.24.10:imaps  
tcp   ESTAB      0      0                                                  <mon portable>:33840     198.252.206.18:https  
tcp   CLOSE-WAIT 0      0                                             <mon portable>:38390        80.12.24.10:imaps  
tcp   ESTAB      0      0                                                  <mon portable>:45580      195.42.250.25:https

on dirait qu'elles passent par d'autres ports, non? Une redirection? À moins que ce soient des connexions sortantes? Je ne sais pas faire la différence.

PS:

Your operating system picks a random high-numbered port on your machine, say 52847, to use as the source port for this specific connection
A connection forms between your port 52847 and the server's port 443
That source port your system chose (52847 in this example) is called an ephemeral port. "Ephemeral" means short-lived. Your system picks it temporarily for one connection and releases it afterward.

tony · 19 janv. 2026, 18:12

Enfer et damnation!!! Debian installe un pare-feu sans le dire! Je n'ai plus qu'à apprendre à m'en servir.... de nouveau car je l'avais testé voilà déjà qqs années, sans l'adopter.

Code : Tout sélectionner

nftables:
  Installed: 1.1.3-1
  Candidate: 1.1.3-1
  Version table:
 *** 1.1.3-1 500
        500 http://deb.debian.org/debian trixie/main amd64 Packages
        100 /var/lib/dpkg/status

a priori aucune règle n'est installée:

Code : Tout sélectionner

~# nft list ruleset
~#

~# systemctl status nftables.service
○ nftables.service - nftables
     Loaded: loaded (/usr/lib/systemd/system/nftables.service; disabled; preset>
     Active: inactive (dead)
       Docs: man:nft(8)
             http://wiki.nftables.org

reste la question de ce port 443.

19 janv. 2026, 20:55

Pour que ton serveur https soit accessible depuis internet, il faut faire une redirection de port 443 dans ta box.
Vérifie qu'il est bien configuré et reçoit les requêtes sur 443 depuis ton LAN

tony · 19 janv. 2026, 22:00

j'ai beaucoup trop de trous à boucher avant de comprendre ce qui entre en jeu dans cette histoire de port. Je vais laisser ce problème de côté pour le moment.

20 janv. 2026, 15:12

Installe un parefeu (par ex UFW), tu fermes tout en entrant par défaut, et tu ouvres au cas par cas.

tony · 20 janv. 2026, 17:49

piratebab a écrit : 20 janv. 2026, 15:12 Installe un parefeu (par ex UFW), tu fermes tout en entrant par défaut, et tu ouvres au cas par cas.

Donc si je comprends bien, pour activer le port 443 sur mon portable, je dois passer par un pare-feu et définir une règle qui ouvre ce port en particulier? Ce port est juste celui qui est le plus utilisé par les serveurs auxquels on se connecte pour transmettre, à partir du serveur, des données chiffrées selon le protocole https, non?

En prenant une des réponses à la commande nmap plus haut, à savoir= <mon portable>:33840 198.252.206.18:https , mon portable a utilisé le port 33840 pour se connecter au port "https" du serveur 198.etc..., probablement un port 443 sur le serveur, le tout se faisant selon le protocole https.
Si j'utilisais nftables pour définir une règle qui ouvre un port 443 su mon portable, cela procurerait-il une sécurité supplémentaire? J'aurais tendance à répondre non, mais bon, c'est pifométrique. Et puis, ai-je bien compris le fonctionnement d'une liaison { client= mon portable/serveur sur internet }?

PS: je comprends mieux pourquoi le port 443 est fermé, côté "mon portable", firefox?, ou Debian?, je ne sais pas, en utilise un autre, tout en restant avec le protocole https. Pourquoi ça= ?

diesel · 20 janv. 2026, 18:16

Le fait que nftables soit installé ne veux pas dire qu'il est lancé (normalement via systemd).

Que donne un "sudo systemctl status nftables" ?

Ensuite, même s'il tourne, nftables ne fait rien si aucune règle n'a été définie dans /etc/nftables.conf.

Si tel est le cas, (nftables ne tourne pas ou pas de règle), cela veut dire que ton port 443 n'est pas ouvert (a priori, il n'y a pas d'application qui écoute sur ce port). Dans ce cas, toutes les règles nftables du monde ne vont pas te l'ouvrir (au pire, l'une d'elle pourrait te le fermer mais ça ne changerait pas grand chose puisqu'il n'est pas ouvert).

Et je pense qu'avec ufw (qui n'est jamais qu'un frontend de netfilter, comme nftables qui est juste de plus bas niveau), ce sera pareil.

Amicalement.

Jean-Marie

tony · 24 janv. 2026, 13:01

diesel a écrit : 20 janv. 2026, 18:16 Dans ce cas, toutes les règles nftables du monde ne vont pas te l'ouvrir (au pire, l'une d'elle pourrait te le fermer mais ça ne changerait pas grand chose puisqu'il n'est pas ouvert).

je me suis fait avoir par ce genre de commentaire, très fréquent, que j'ai mal interprété:

How to Open a Port with iptables Step by Step

Allow access to a particular port:

This will open port 8080 for TCP traffic.
allow access to a particular port
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT

et comme j'associais un port à un genre d'électrovanne qu'on ouvre ou qu'on ferme à l'aide d'une commande, j'étais en dehors des clous.

J'ai d'ailleurs fait l'essai avec le même genre de règle adaptée à nftables, pour le port 443: il est resté "fermé".
Merci pour la réponse.

26 janv. 2026, 09:44

"fermé" et "en écoute" sont 2 choses différentes.
Si il est fermé, c'est un parefeu qui bloque systématiquement ce qui arrive sur ce port. Toute requête est rejetée directement par le noyau.
Si il est en écoute, c'est qu'un logiciel attends de recevoir une requête (par ex un serveur web). Le noyau transmet la requête, mais si rien n'est en écoute sur ce port, la requête n'aura pas de réponse.
Vu d'un scanner de port, le comportement est identique, pas de réponse.
Pour voir si un logiciel est en écoute, sur la machine locale :

Code : Tout sélectionner

netstat -lataupen

tony · 28 janv. 2026, 07:28

piratebab a écrit : 26 janv. 2026, 09:44 ......
Pour voir si un logiciel est en écoute, sur la machine locale :
Code : Tout sélectionner
netstat -lataupen

il me semble que "netstat" a été remplacé par "ss". En tout cas:

Code : Tout sélectionner

$ ap netstat
Notice: Unable to locate package netstat

Cette discussion m'a permis de boucher qqs trous concernant les ports d'un réseau

28 janv. 2026, 09:26

netstat est dans le paquet net-tools

port 443 filtré (root) ou fermé (user) Le sujet est résolu