Scan de ports de la Livebox5 : les ports TCP 25, 110, 119, 143, 465, 563,587 sont ouverts

Bonjour,

Mon architecture réseau à la maison est en double NAT : 1e NAT par la Livebox 5, 2e NAT par le firewall physique placé en DMZ (un OpenWRT). Mon LAN se trouve derrière ce firewall. Tous les ports de la Livebox 5 exposés à Internet sont donc renvoyés, logiquement, vers le firewall physique. Or, un scan de ports depuis Internet ne devrait montrer ouverts et en écoute, que les ports ouverts et exposés sur le firewall physique. Pourtant, les ports TCP 25 (SMTP), 110 (POP3), 119 (NNTP), 143 (IMAP), 465, 563 et 587 sont ouverts, et pire, sont même sont en écoute : un simple Telnet sur le port TCP 25 affiche :

➤ telnet IPv4-Publique-de-ma-Livebox5 25

Trying IPv4-Publique-de-ma-Livebox5...
Connected to IPv4-Publique-de-ma-Livebox5
Escape character is '^]'.
421 Cannot connect to SMTP server IPv4-Publique-de-ma-Livebox5 (IPv4-Publique-de-ma-Livebox5), connect error 10061
Connection closed by foreign host.

... alors que je n'ai aucun daemon sur le port TCP 25 qui tourne derrière mon firewall physique. J'en conclue que c'est la Livebox 5 qui répond à ces ports fantômes au lieu d'envoyer la demande de connexion sur le port TCP 25 du firewall physique, comme elle est censée le faire !

J'ai essayé tout ce que je pouvais dans les onglets "Firewall" (genre, mode personnalisé, avec des règles sur ces ports refusant l'accès à tous), mais rien n'y fait, ces ports apparaissent toujours aux scans de ports, et les même les options "avancées" sonat avares de paramètres.

Ma question est : "Comment fait-on pour qu'il n'y ait plus de réponse aux scans sur ces ports ?"

Je sais bien qu'on va me dire "Qu'est ce que ça peut faire qu'ils soient ouverts s'ils aboutissent nul part ?" et je répondrais à cela plusieurs choses :

- Si j'ai besoin d'un de ces ports, il est déjà potentiellement utilisé par ce process fantôme.

- Un scan de ports donnant toujours cette signature permet à un attaquant de savoir qu'il y a une box Internet à cette adresse IP, et peut-être même, si la Livebox 5 est la seule à faire ça, qu'il y a une Livebox 5 à cette adresse IP, et donc de se focaliser sur les vulnérabilités potentielles de ce modèle.

- Puisque ces ports sont en écoute, il y a un daemon derrière (développé par Sagemcom, je suppose) sur lesquels un attaquant a une certaine surface d'attaque, ce qui ne serait pas le cas si ces ports étaient directement envoyés vers le firewall physique en DMZ, comme on serait en droit de penser que ça aurait dû être le cas, quand on place un équipement en DMZ.

Si quelqu'un sait et peut m'éclairer sur le moyen d'avoir un scan de ports propres, qui ne relève que ceux que j'ai exposé en toute connaissance de cause sur mon firewall physique, ce serait sympa !

Merci d'avance !