La commande nslookup est un outil largement utilisé pour interroger les enregistrements du système de noms de domaine (DNS). Elle aide les administrateurs réseau à résoudre les problèmes liés au DNS en leur permettant d’effectuer différentes requêtes, qu’il s’agisse de trouver les adresses IP associées à des noms de domaine ou d’interroger des serveurs DNS spécifiques. Ce tutoriel vous guidera à travers les bases de l’utilisation de nslookup sur les systèmes Linux et Windows. Dans ce tutoriel, vous apprendrez : La syntaxe de base et les options de nslookup Comment effectuer des requêtes DNS simples Comment récupérer les enregistrements d’échange de courrier (MX) Comment effectuer des recherches DNS inversées Comment interroger des serveurs DNS spécifiques Comment utiliser le mode non interactif À la fin de ce tutoriel, vous maîtriserez les commandes nslookup les plus courantes et les plus utiles pour un dépannage DNS efficace. Syntaxe de base et options de nslookup La syntaxe de base de la commande nslookup est simple : nslookup [options] [domaine] Voici un aperçu des options les plus couramment utilisées : Aucun paramètre : ouvre le mode interactif, dans lequel vous pouvez entrer plusieurs requêtes. [domaine] : effectue une requête DNS pour le nom de domaine spécifié. -type=[type_enregistrement] : spécifie le type d’enregistrement DNS à interroger (ex. : A, MX, AAAA, etc.). [serveur] : spécifie un serveur DNS particulier à interroger au lieu du serveur système par défaut. Exemple : nslookup example.com Cette commande effectue une requête DNS pour "example.com" en utilisant votre serveur DNS par défaut. Options courantes de nslookup -query=A : interroger l’adresse IP (type d’enregistrement par défaut) -query=MX : récupérer les enregistrements d’échange de courrier -query=AAAA : interroger les adresses IPv6 -timeout=[secondes] : définir un délai d’attente pour la réponse -debug : afficher des informations détaillées sur le processus de requête Comment effectuer une requête DNS simple L’un des usages les plus courants de nslookup est de résoudre les noms de domaine en adresses IP. Guide étape par étape pour effectuer une requête DNS simple: Ouvrez le terminal ou l’invite de commandes. Tapez la commande nslookup suivie du nom de domaine : nslookup google.com Sortie : Dans cet exemple, le serveur DNS à 8.8.8.8 (le serveur DNS public de Google) a renvoyé l’adresse IP 142.250.65.238 pour google.com. Utiliser nslookup pour récupérer les enregistrements MX Les enregistrements d’échange de courrier (MX) d’un domaine indiquent quels serveurs de messagerie sont responsables de la réception des e-mails pour ce domaine. Pour récupérer les enregistrements MX à l’aide de nslookup : Utilisez l’option -type=MX pour spécifier que vous souhaitez récupérer les enregistrements MX.     nslookup -query=MX gmail.com La sortie affichera les enregistrements MX, y compris les serveurs de messagerie et leurs priorités : Server: 8.8.8.8 Address: 8.8.8.8#53 Non-authoritative answer: gmail.com mail exchanger = 20 alt2.gmail-smtp-in.l.google.com.. gmail.com mail exchanger = 10 alt1.gmail-smtp-in.l.google.com. Dans cet exemple, les serveurs de messagerie pour gmail.com sont listés avec leurs priorités. Plus le nombre est bas, plus la priorité est élevée. Effectuer des recherches DNS inversées Une recherche DNS inversée traduit une adresse IP en son nom de domaine associé. Cela est utile pour identifier le domaine correspondant à une adresse IP donnée. Pour effectuer une recherche DNS inversée, saisissez l’adresse IP dans la commande nslookup : nslookup 142.250.65.238 La sortie affichera le nom de domaine associé à l’adresse IP : Non-authoritative answer: 238.65.250.142.in-addr.arpa name = lga25s73-in-f14.1e100.net. Dans cet exemple, l’adresse IP 142.250.65.238 se résout en lga25s73-in-f14.1e100.net, qui fait partie de l’infrastructure de Google. Interroger des serveurs DNS spécifiques Par défaut, nslookup utilise le serveur DNS configuré sur le système pour effectuer les requêtes. Cependant, vous pouvez spécifier un autre serveur DNS si nécessaire. Pour interroger un serveur DNS spécifique, ajoutez l’adresse IP du serveur à la commande : nslookup example.com 1.1.1.1 La commande interrogera le serveur DNS 1.1.1.1 (le DNS de Cloudflare) pour le domaine example.com : Server: 1.1.1.1 Address: 1.1.1.1#53 Non-authoritative answer: Name: example.com Address: 93.184.215.14 Cela vous permet de tester la résolution DNS à partir de différents serveurs. Utiliser le mode non interactif dans nslookup En mode non interactif, vous pouvez exécuter plusieurs requêtes sans entrer dans l’interface interactive de nslookup. Ce mode est utile pour les scripts ou l’automatisation des tâches. Pour utiliser nslookup en mode non interactif, indiquez simplement le nom de domaine et, facultativement, le serveur dans une seule commande : nslookup example.com 8.8.8.8 La réponse sera affichée directement, sans entrer dans l’interface interactive : Server: 8.8.8.8 Address: 8.8.8.8#53 Non-authoritative answer: Name: example.com Address: 93.184.215.14 Cette méthode est efficace lorsque vous devez interroger rapidement des enregistrements DNS sans interaction supplémentaire. Conclusion La commande nslookup est un outil puissant et flexible pour effectuer des requêtes DNS. Que vous résolviez des noms de domaine, récupériez des enregistrements MX ou effectuiez des recherches inversées, nslookup est une commande essentielle pour les administrateurs réseau. En maîtrisant ses options et sa syntaxe, vous pourrez utiliser nslookup efficacement sur les systèmes Linux et Windows. En résumé, nous avons abordé dans ce tutoriel : L’exécution de requêtes DNS simples La récupération des enregistrements MX L’exécution de recherches DNS inversées L’interrogation de serveurs DNS spécifiques L’utilisation du mode non interactif

Internet passe progressivement à IPv6, et de plus en plus de sites, d’applications et d’appareils l’adoptent. Mais posséder une adresse IPv6 ne suffit pas. Pour que tout fonctionne correctement, il est essentiel de bien configurer le DNS — à la fois du côté serveur et sur votre propre ordinateur. Sans DNS, aucune connexion ne fonctionnera : le navigateur ne saura tout simplement pas où envoyer la requête. C’est particulièrement crucial avec IPv6. Si vous oubliez de configurer les enregistrements DNS nécessaires, votre site deviendra invisible pour de nombreux utilisateurs, et même les contenus qui fonctionnaient auparavant peuvent cesser de s’afficher sur les appareils clients. Comment vérifier si votre fournisseur d’accès Internet prend en charge IPv6 Ce guide est pertinent uniquement si votre fournisseur d’accès Internet prend en charge IPv6. Système d’exploitation basé sur Linux Exécutez la commande suivante : ip -6 addr show Si vous voyez des adresses d’interface commençant par 2xxx: ou 3xxx:, votre fournisseur prend en charge IPv6. macOS Utilisez la commande : ifconfig Si votre fournisseur attribue une adresse IPv6, elle ressemblera à ceci : Windows Ouvrez l’invite de commande en appuyant sur Win + R, puis tapez cmd. Entrez la commande suivante : ipconfig Vous devriez voir une sortie similaire à ceci : Qu’est-ce que le DNS pour IPv6 et pourquoi est-il important ? Le DNS est comme le carnet d’adresses d’Internet. Lorsqu’un utilisateur saisit l’adresse d’un site web, le navigateur ne sait pas où aller — il a besoin d’une adresse IP. Le DNS traduit les adresses lisibles par l’homme en adresses IP numériques que les appareils et les réseaux peuvent utiliser. Vous devez configurer le DNS pour IPv6 à deux endroits : 1. Sur le serveur (où votre site ou service est hébergé) Cela permet aux navigateurs de trouver votre site via IPv6. Si la zone DNS de votre domaine ne contient pas d’enregistrement AAAA avec l’adresse IPv6 du serveur, les navigateurs ne sauront même pas qu’ils peuvent utiliser le nouveau protocole pour accéder à votre site. En conséquence, le site peut se charger lentement ou ne pas s’ouvrir du tout pour les utilisateurs disposant uniquement d’un accès IPv6. 2. Du côté client (votre ordinateur ou routeur) Votre ordinateur doit également savoir quel serveur DNS utiliser pour résoudre les adresses de site en format IPv6. Si votre ordinateur ou votre routeur n’a pas accès à un serveur DNS prenant en charge IPv6, il ne pourra pas ouvrir le site, même si votre fournisseur prend en charge le protocole. Configurer le DNS pour IPv6 garantit le bon fonctionnement d’Internet — rapide, fiable et sans interruption — sous le nouveau protocole. Sans configuration correcte, IPv6 peut être disponible, mais non fonctionnel. Les meilleurs serveurs DNS publics pour IPv6 Pour assurer des performances stables et rapides, votre appareil doit savoir quel serveur DNS interroger. En général, le routeur s’en charge : il reçoit les paramètres de votre fournisseur et les distribue sur le réseau. Mais si votre fournisseur ne prend pas en charge IPv6 ou si son DNS est instable, vous pouvez définir manuellement des serveurs DNS publics compatibles avec IPv6. Voici des adresses gratuites et fiables, accessibles partout dans le monde : Nom Adresse DNS IPv6 principale Adresse DNS IPv6 secondaire Google DNS 2001:4860:4860::8888 2001:4860:4860::8844 Cloudflare 2606:4700:4700::1111 2606:4700:4700::1001 Quad9 2620:fe::fe 2620:fe::9 OpenDNS 2620:119:35::35 2620:119:53::53 Tous ces services : prennent en charge IPv6 sans configuration supplémentaire ; répondent rapidement aux requêtes dans le monde entier ; protègent contre les sites frauduleux et malveillants (notamment Quad9 et OpenDNS). Quand configurer manuellement le DNS ? Suivez les instructions ci-dessous si l’une des situations suivantes s’applique : Votre appareil ne reçoit pas automatiquement les paramètres du serveur DNS. Votre fournisseur ne prend pas en charge IPv6 au niveau DNS. Les sites se chargent lentement ou affichent des erreurs « adresse introuvable ». Les sections suivantes expliquent comment configurer manuellement les serveurs DNS. Cela prend seulement quelques minutes et garantit une connexion Internet stable et sans erreurs. Configurer le DNS IPv6 sous Windows Si vous avez accès à Internet mais que les sites ne se chargent pas, Windows ne sait peut-être pas quel serveur DNS utiliser pour IPv6. Vous pouvez facilement corriger cela en définissant manuellement les adresses correctes. Cette méthode fonctionne à la fois sous Windows 10 et 11 — les interfaces sont presque identiques. Ouvrez les connexions réseau : appuyez sur Win + R, tapez ncpa.cpl et appuyez sur Entrée. Une fenêtre s’ouvrira avec toutes les connexions (Ethernet, Wi-Fi, etc.). Trouvez votre connexion active. Elle est généralement appelée « Connexion au réseau local » ou « Réseau sans fil ». Cliquez dessus avec le bouton droit → sélectionnez Propriétés. Choisissez Protocole Internet version 6 (TCP/IPv6). Dans la liste des composants, trouvez cette ligne et cliquez sur le bouton Propriétés. Entrez les serveurs DNS manuellement : Cochez Utiliser les adresses de serveur DNS suivantes. Saisissez : Préféré : 2001:4860:4860::8888 Alternatif : 2001:4860:4860::8844 Enregistrez les paramètres. Cliquez sur OK → OK, puis fermez la fenêtre. Windows utilisera désormais les serveurs DNS spécifiés pour les connexions IPv6. Configurer le DNS IPv6 sous Linux La configuration DNS sous Linux dépend de l’édition que vous utilisez (bureau ou serveur) et de l’outil de gestion réseau employé (NetworkManager, systemd-networkd ou configuration manuelle). Pour que tout fonctionne correctement avec IPv6, vous devez déterminer quel composant gère le réseau et le DNS sur votre système, puis choisir la méthode appropriée. Comment savoir quel système votre distribution utilise Ouvrez un terminal et exécutez : nmcli device Si la commande renvoie une liste d’interfaces et de leurs statuts, vous utilisez NetworkManager. Si nmcli n’est pas installé, essayez : networkctl Si vous voyez des interfaces avec l’état routable ou configured, vous utilisez systemd-networkd. Ubuntu Desktop, Fedora, Manjaro — utilisation de NetworkManager Si vous utilisez un environnement graphique (GNOME, KDE, Xfce) et que vous voyez une icône réseau dans le panneau, vous utilisez probablement NetworkManager. Via l’interface graphique : Allez dans Paramètres → Réseau → Sélectionnez la connexion active → IPv6 Dans la section DNS : Basculez le mode sur « Manuel » ou « Avancé » Entrez les adresses DNS, par exemple : 2001:4860:4860::8888 et 2001:4860:4860::8844 Enregistrez et redémarrez la connexion Via le terminal : nmcli connection modify eth0 ipv6.dns "2001:4860:4860::8888 2001:4860:4860::8844" nmcli connection modify eth0 ipv6.ignore-auto-dns yes nmcli connection up eth0 Remplacez eth0 par le nom réel de votre interface (vérifiez avec nmcli device). Ubuntu Server (18.04+, 20.04+, 22.04+) — utilisation de Netplan Sur les éditions serveur d’Ubuntu, Netplan est utilisé pour générer la configuration de systemd-networkd. Ouvrez le fichier de configuration, par exemple : sudo nano /etc/netplan/01-netcfg.yaml Ajoutez les adresses IPv6 dans la section nameservers. Respectez strictement la mise en forme YAML — utilisez uniquement des espaces, pas de tabulations. Les indentations sont généralement des multiples de 4 espaces. Dans le champ addresses, insérez l’adresse IPv6 avec /64. Dans le champ gateway6, insérez la passerelle — supprimez le dernier groupe de votre adresse IPv6 et remplacez-le par 1 pour obtenir l’adresse de la passerelle. network: version: 2 ethernets: eth0: dhcp4: true dhcp4-overrides: use-dns: false dhcp6: false addresses: - 2001:0db8:a::0370/64 gateway6: 2001:0db8:a::1       match: macaddress: <insérez l’adresse MAC de votre machine> nameservers: addresses: - 2001:4860:4860::8888 - 2001:4860:4860::8844 Appliquez les modifications : sudo netplan apply Après avoir appliqué les changements, vérifiez que les bons serveurs DNS sont utilisés. Si le champ DNS Servers affiche des serveurs incorrects, ils sont probablement fournis automatiquement via DHCP. Désactivez cela comme suit : Assurez les permissions correctes sur le fichier YAML : sudo chmod 600 /etc/netplan/01-netcfg.yaml Supprimez l’ancien resolv.conf et créez un lien symbolique : sudo rm -f /etc/resolv.conf sudo ln -s /run/systemd/resolve/resolv.conf /etc/resolv.conf Si vous obtenez l’erreur « Unable to resolve host », ajoutez le nom d’hôte à /etc/hosts : HOSTNAME=$(hostname) sudo sed -i "/127.0.1.1/d" /etc/hosts echo "127.0.1.1 $HOSTNAME" | sudo tee -a /etc/hosts Activez systemd-resolved (s’il ne l’est pas déjà) : sudo systemctl enable systemd-resolved --now Appliquez la configuration et redémarrez les services : sudo netplan apply sudo systemctl restart systemd-networkd sudo systemctl restart systemd-resolved Vérifiez de nouveau le résultat : resolvectl status resolvectl dns À ce stade, le DNS basé sur DHCP doit être entièrement désactivé. Systèmes modernes avec systemd-resolved Si votre système utilise directement systemd-resolved (par exemple, Arch Linux ou Ubuntu avec systemd), vous pouvez définir le DNS via le fichier de configuration. Ouvrez le fichier de configuration : sudo nano /etc/systemd/resolved.conf Ajoutez les lignes suivantes : [Resolve] DNS=2001:4860:4860::8888 2001:4860:4860::8844 FallbackDNS=2606:4700:4700::1111 Redémarrez le service : sudo systemctl restart systemd-resolved Configuration manuelle via resolv.conf — si rien d’autre ne fonctionne Parfois, il est plus simple d’apporter des modifications directement dans /etc/resolv.conf, surtout sur les systèmes minimaux ou dans les conteneurs. Ouvrez le fichier : sudo nano /etc/resolv.conf Ajoutez les lignes : nameserver 2001:4860:4860::8888 nameserver 2001:4860:4860::8844 Gardez à l’esprit que le système remplace souvent ce fichier. Pour conserver les paramètres : sudo chattr +i /etc/resolv.conf Configurer le DNS IPv6 sur un routeur Si vous avez déjà configuré le DNS IPv6 sur votre serveur et votre PC, mais que le site ne s’ouvre toujours pas via le nouveau protocole, vérifiez les paramètres de votre routeur. Le routeur distribue la connexion Internet et indique aux appareils où envoyer les requêtes DNS. S’il n’y a pas de serveurs DNS compatibles IPv6 configurés sur le routeur, vos appareils domestiques peuvent encore utiliser l’ancien protocole — même si votre fournisseur est passé à IPv6. Où trouver les paramètres DNS IPv6 Cela dépend du modèle, mais le chemin typique est : Paramètres du routeur → Internet / WAN → IPv6 → DNS. S’il existe un onglet DNS séparé, accédez-y. Certains modèles cachent ces paramètres dans les sections Avancé. Exemple : routeur TP-Link Accédez à l’interface du routeur : 192.168.0.1 ou tplinkwifi.net Entrez votre identifiant et votre mot de passe Allez dans Avancé → IPv6 Activez IPv6 — il est généralement désactivé par défaut Dans les paramètres de connexion WAN, cochez Configurer le serveur DNS manuellement Entrez vos adresses DNS IPv6 choisies, par exemple : 2001:4860:4860::8888 2001:4860:4860::8844 Enregistrez les modifications et redémarrez le routeur. Exemple : routeur Keenetic Accédez à my.keenetic.net Dans le menu, sélectionnez Internet → Connexion Ouvrez l’onglet Serveurs DNS Cochez Manuel Entrez les adresses IPv6 (par exemple, Google DNS) Appliquez les modifications et redémarrez le routeur Que faire si le DNS ne prend pas en charge IPv6 ? Vérifiez que votre routeur prend en charge IPv6 (ce n’est pas le cas de tous les anciens modèles). Assurez-vous que votre fournisseur a attribué une adresse IPv6 globale (et pas seulement fe80::). Essayez de mettre à jour le firmware de votre routeur — cela résout souvent le problème. Tester le DNS sur IPv6 Tester le DNS sur IPv6 est simple — que ce soit dans un navigateur ou via le terminal. Cela ne prend que quelques minutes et permet d’identifier rapidement la source du problème : le DNS, le réseau ou IPv6 lui-même. Dans le navigateur La méthode la plus simple consiste à ouvrir le site de test : test-ipv6.com La page affichera : S’il existe une connexion IPv6. Quel protocole est utilisé par défaut (IPv4 ou IPv6). Si le DNS sur IPv6 fonctionne Si les sites populaires disposent d’enregistrements AAAA. Si tout est en vert, tout fonctionne correctement. En cas d’erreur, le site indiquera la cause du problème. Dans le terminal (Linux, macOS) Vérifiez l’enregistrement DNS AAAA : dig AAAA google.com Si la réponse contient une adresse IPv6 (par exemple : 2a00:1450:4009::200e), cela signifie que le DNS sur IPv6 fonctionne. Vérifiez quels serveurs DNS sont utilisés : resolvectl status Cela affiche les interfaces actives et les serveurs DNS (y compris IPv6). Vérifiez si le trafic passe par IPv6 : ping6 google.com Ou : curl -6 https://ifconfig.co Si la commande s’exécute et affiche une adresse IPv6, alors la connectivité IPv6 est active. Résoudre les problèmes courants Voici un récapitulatif des problèmes fréquemment rencontrés lors de la configuration du DNS IPv6 et leurs solutions : Symptôme Problème Solution Les sites s’ouvrent, mais lentement. ping6 fonctionne, mais ping est plus rapide. Le navigateur essaie d’abord IPv6, puis revient à IPv4. Le serveur DNS répond trop lentement. Souvent, le DNS par défaut du fournisseur est en cause. Passez à un serveur DNS public rapide. Voir « Configurer le DNS IPv6 sous Windows » ou « Configurer le DNS IPv6 sous Linux ». ping6 google.com → « Name or service not known » Le client DNS ne reçoit pas de réponses IPv6 : adresses de serveur incorrectes ou IPv6 désactivé sur l’interface. Vérifiez si IPv6 est actif avec ip -6 addr. Assurez-vous que resolvectl status affiche un serveur DNS IPv6. Sinon, configurez-en un manuellement (voir les guides Windows ou Linux). Internet s’arrête après netplan apply. Erreur de syntaxe dans le fichier YAML ou passerelle manquante. Vérifiez le fichier avec netplan try. En cas d’erreur, revenez en arrière et réappliquez soigneusement les changements. Corrigez les fautes de frappe et l’indentation — utilisez deux espaces par niveau. Aucune connexion active dans l’interface graphique d’Ubuntu. Netplan utilise systemd-networkd, tandis que la GUI attend NetworkManager. Modifiez Netplan pour une configuration serveur, ou installez NetworkManager et changez renderer: NetworkManager dans le fichier de configuration. nslookup -type=AAAA site.com sous Windows affiche « Domaine inexistant ». Le routeur n’a pas de DNS IPv6 défini, ou son firmware ne prend pas en charge le protocole. Connectez-vous au panneau d’administration du routeur → « IPv6 » → « DNS » → entrez Cloudflare ou Google DNS. Mettez à jour le firmware si la section « IPv6 » est totalement absente. Le conteneur Docker ignore le DNS IPv6. Le démon Docker utilise son propre resolv.conf copié au démarrage. Ajoutez l’adresse DNS à /etc/docker/daemon.json, ou passez-la au lancement du conteneur : docker run --dns 2606:4700:4700::1111 alpine systemd-resolved met en cache une erreur SERVFAIL en continu. Un serveur DNS amont a échoué ; la réponse erronée est mise en cache. Videz le cache et changez de DNS : sudo resolvectl flush-caches sudo systemd-resolve --set-dns=2001:4860:4860::8888 --interface=eth0 Un site avec HSTS ne se charge en HTTPS que via IPv4. Le certificat n’a qu’un enregistrement A ; pas d’AAAA — le navigateur ne lui fait pas confiance. Émettez un certificat qui valide les deux versions IP. Pour Let’s Encrypt : sudo certbot --preferred-challenges http -d site.com -d '*.site.com' ping6 vers un hôte local est OK, mais « Network unreachable » vers Internet. Le FAI a attribué un préfixe mais aucune passerelle (gateway6 non défini). Ajoutez manuellement une passerelle : gateway6: 2a03:6f01:1:2::1 appliquez : sudo netplan apply Adresse IPv6 présente, mais les requêtes DNS partent vers 192.168.0.1. Le routeur distribue du DNS IPv4 via l’option DHCPv6 23 ; le système lui donne une priorité plus élevée. Définissez manuellement un DNS IPv6 avec la priorité la plus élevée : sudo resolvectl dns-priority eth0 0 dig @2606:4700:4700::1111 google.com fonctionne, mais dig google.com non. systemd-resolved écoute sur 127.0.0.53, mais un pare-feu local bloque les paquets DNS sortants. Autorisez le trafic sortant sur le port 53 (UDP et TCP) ou désactivez UFW : sudo ufw allow out 53 Comparez votre symptôme avec la première colonne et consultez le diagnostic rapide dans la deuxième colonne. Exécutez la ou les commandes de la troisième colonne et vérifiez le résultat. Si le problème persiste, revenez aux étapes de configuration du DNS. Conclusion La transition vers IPv6 est lente, mais inévitable. De plus en plus de fournisseurs d’accès attribuent uniquement des adresses IPv6, davantage d’hébergeurs fonctionnent en double pile (Dual Stack), et de plus en plus de services vérifient par défaut la compatibilité IPv6. Si le DNS est mal configuré, les connexions échouent, les sites ne se chargent pas et les utilisateurs passent à des services plus fiables. La bonne nouvelle ? Cela ne prend que 5 à 10 minutes : Ajoutez un enregistrement AAAA dans votre panneau d’hébergement ; Configurez des serveurs DNS publics fiables sur votre serveur, routeur et vos appareils clients ; Vérifiez le résultat — et oubliez le problème. IPv6 ne concerne pas l’avenir — il s’agit de garantir que votre site, votre service ou votre réseau domestique fonctionne de manière fiable dès maintenant. Et un DNS correctement configuré est votre passeport vers ce nouvel Internet. Et si vous recherchez une solution fiable, performante et économique pour vos workflows, Hostman vous propose des options d’hébergement VPS Linux, y compris Debian VPS, Ubuntu VPS et VPS CentOS.

Lors du travail avec des réseaux sous Linux, il peut être nécessaire d’ouvrir ou de fermer un port réseau. La gestion des ports est essentielle pour la sécurité — moins il y a de ports ouverts dans un système, moins il y a de vecteurs d’attaque potentiels. De plus, si un port est fermé, un attaquant ne peut pas recueillir d’informations sur le service fonctionnant sur ce port spécifique. Ce guide explique comment ouvrir ou fermer des ports et comment vérifier les ports ouverts sur des distributions Linux telles que Ubuntu/Debian et CentOS/RHEL à l’aide de pare-feu comme ufw, firewalld et iptables. Nous allons démontrer ce processus sur deux distributions Linux : Ubuntu 22.04 et CentOS 9, exécutées sur un VPS Hostman. Toutes les commandes présentées ici fonctionnent sur n’importe quelle distribution basée sur Debian ou RHEL. Qu’est-ce qu’un port réseau ? Les ports sont utilisés pour accéder à des applications et des protocoles spécifiques. Par exemple, un serveur peut héberger à la fois un serveur web et une base de données — les ports dirigent le trafic vers le service approprié. Techniquement, un port réseau est un entier non négatif allant de 0 à 65535. Ports réservés (0–1023) : utilisés par des protocoles et services réseau populaires comme SSH (port 22), FTP (port 21), HTTP (port 80) et HTTPS (port 443). Ports enregistrés (1024–49151) : peuvent être utilisés par des applications spécifiques pour la communication. Ports dynamiques (49152–65535) : utilisés pour des connexions temporaires et peuvent être attribués dynamiquement à des applications. Ouvrir des ports sur les distributions Linux basées sur Debian Sur les systèmes basés sur Debian (Ubuntu, Debian, Linux Mint, etc.), vous pouvez utiliser ufw (Uncomplicated Firewall). ufw est préinstallé sur la plupart des distributions basées sur APT. Pour vérifier s’il est installé : ufw version Si une version s’affiche, ufw est installé. Sinon, installez-le avec : apt update && apt -y install ufw Par défaut, ufw est inactif, ce qui signifie que tous les ports sont ouverts. Vous pouvez vérifier son statut avec : ufw status Pour l’activer : ufw enable Vous devrez confirmer avec y. Notez que l’activation d’ufw peut interrompre les connexions SSH en cours. Par défaut, ufw bloque tout le trafic entrant et autorise tout le trafic sortant. Pour vérifier la politique par défaut : cat /etc/default/ufw Ouvrir des ports avec ufw Pour ouvrir un port : ufw allow <port_number> Exemple — ouvrir le port 22 pour SSH : ufw allow 22 Vous pouvez ouvrir plusieurs ports en les séparant par des virgules et en spécifiant le protocole (tcp ou udp) : ufw allow 80,443,8081,8443/tcpufw allow 80,443,8081,8443/udp Au lieu des numéros de port, vous pouvez utiliser le nom du service (défini dans /etc/services). Exemple — ouvrir Telnet (port 23) : ufw allow telnet Remarque : Vous ne pouvez pas spécifier plusieurs noms de services à la fois. Sinon, ufw renverra une erreur : Pour ouvrir une plage de ports : ufw allow <start_port>:<end_port>/<protocol> Exemple : ufw allow 8000:8080/tcp Fermer des ports avec ufw Pour fermer un port : ufw deny <port_number> Exemple — fermer le port 80 : ufw deny 80 Vous pouvez également utiliser le nom du service. Exemple — fermer FTP (port 21) : ufw deny ftp Vérifier les ports ouverts dans ufw Pour lister tous les ports ouverts et fermés : ufw status Ou pour une vue plus détaillée : ufw status verbose Ouvrir un port sur les distributions Linux basées sur RHEL Les distributions basées sur RHEL (CentOS 7+, RHEL 7+, Fedora 18+, OpenSUSE 15+) utilisent par défaut firewalld. Ouvrir des ports avec firewalld Vérifiez si firewalld est installé : firewall-offline-cmd -V Si une version s’affiche, firewalld est installé. Sinon, installez-le : dnf install firewalld Par défaut, firewalld est désactivé. Vérifiez son statut : firewall-cmd --state Pour l’activer : systemctl start firewalld Ouvrir le port 8080 pour TCP : firewall-cmd --zone=public --add-port=8080/tcp --permanent --zone=public: Spécifie la zone pour la règle. --add-port=8080/tcp: Spécifie le port et le protocole. --permanent: Enregistre la règle de façon permanente. Vous pouvez aussi ouvrir un service en utilisant son nom, par exemple HTTP (port 80) : firewall-cmd --zone=public --add-service=http --permanent Appliquer les changements : firewall-cmd --reload Fermer des ports avec firewalld Pour fermer un port par numéro : firewall-cmd --zone=public --remove-port=8080/tcp --permanent Ou par nom de service : firewall-cmd --zone=public --remove-service=http --permanent Toujours recharger après modification : firewall-cmd --reload Lister les ports ouverts avec firewalld Pour lister tous les ports ouverts : firewall-cmd --list-ports Gérer les ports avec iptables Contrairement à ufw et firewalld, iptables est préinstallé sur de nombreuses distributions (Ubuntu, Debian, RHEL, Rocky Linux, AlmaLinux). Ouvrir des ports avec iptables Pour ouvrir le port 8182 pour les connexions entrantes : iptables -A INPUT -p tcp --dport 8182 -j ACCEPT -A INPUT: Ajoute une règle à la chaîne INPUT. -p tcp: Spécifie le protocole. --dport 8182: Spécifie le port à ouvrir. -j ACCEPT: Autorise le trafic sur ce port. Pour les connexions sortantes : iptables -A OUTPUT -p tcp --dport 8182 -j ACCEPT Pour ouvrir une plage de ports : iptables -A INPUT -p tcp --match multiport --dports 1024:2000 -j ACCEPT Fermer des ports avec iptables Pour fermer un port : iptables -A INPUT -p tcp --dport 8182 -j DROP Fermer une plage de ports : iptables -A INPUT -p tcp --match multiport --dports 1024:2000 -j DROP Sauvegarder les règles iptables Par défaut, les règles iptables sont perdues après un redémarrage. Pour les sauvegarder de façon permanente, installez iptables-persistent. Pour les systèmes basés sur APT : apt update && apt -y install iptables-persistent Pour les systèmes basés sur DNF : dnf -y install iptables-persistent Sauvegarder les règles actuelles : iptables-save Les règles seront automatiquement rechargées au prochain redémarrage. Afficher les ports ouverts avec iptables Lister toutes les règles et ports ouverts : iptables -L -v -n Lister uniquement les règles IPv4 : iptables -S Lister les règles IPv6 : ip6tables -S Conclusion Dans ce guide, nous avons montré comment ouvrir et fermer des ports réseau sous Linux et comment vérifier les ports actuellement ouverts à l’aide de trois outils différents : ufw, firewalld et iptables. Une bonne gestion des ports réduit les risques d’attaques réseau potentielles et aide à dissimuler des informations sur les services utilisant ces ports.