Ok, ça devient intéressant alors...
Je n'herberge aucun site web (pas sur 443 ni 80), je n'utilise pas ftp en non secure, et 554 m'est inconnu ça veut dire qu'il y aurait un device à la con qui "ouvrirait" le port ?
Sachant que upnp est désactivé sur l'erl.
J'ai lancé un netstat -plnt et les ports en listen (ssh, https etc) de l'erl ne le sont que sur l'ip privée de l'interface.
Strange.
EDIT: je n'utilise pas de serveur dédié pour les tests mais un laptop connecté en Wifi sur un smartphone 4g sur le réseau Orange. Ça peut avoir son importance.
Les tests à la con sur les sites qui scannent les ports ouverts de ton IP public donnent tous ces ports en timeout mais bon.
EDIT2 : bon, j'ai fait de nouveaux tests. J'ai débranché le port WAN ERL de l'ONT (bon à ce stade on est d'accord que l'IP n'est plus censée m'être forcèment lease), les même ports ont continué à être signalés ouverts par nmap.
J'ai été éteint l'ONT : idem.
Reboot de l'ONT/ERL, avec la nouvelle IP : idem.
Donc : soit ça vient de ma connect 4g Orange, soit c'est l'infra fibre Orange (plus particulièrement PPPoE vu que zoc n'est pas impacté mais est en dhcp).