Cuándo lo necesita y cómo realizar el reenvío de puertos en Windows y en enrutadores para que un servidor o juego sea accesible en Internet
Cuando instala software, un servidor de juegos o un sistema de videovigilancia en su hogar, a menudo descubre que los datos no pueden llegar correctamente desde el exterior al dispositivo deseado. El motivo de este bloqueo es un mecanismo de seguridad fundamental, pero a veces frustrante, que afecta a la arquitectura de cada red doméstica o empresarial.
Por defecto, el tuyo enrutadorel guardián que conecta la red local (LAN) a Internet (WAN), está configurado para bloquear todas las solicitudes de conexión que llegan desde el exterior (la web) a los dispositivos internos (sus PC, consolas, NAS). Este sistema de protección, llamado Traducción de direcciones de red (NAT), es lo que nos salva de la mayoría de ataques no deseados. Sin embargo, si estamos alojando un servidor de minecrafta centro de medios como Plex, o estamos utilizando servicios particulares que requieren un «contacto» directo, es necesario indicarle al enrutador que deje pasar tipos específicos de datos.
Este procedimiento se llama Reenvío de puertoso reenvío de puertos, y consiste en crear un «túnel» seguro que salta el bloqueo NAT de un determinado puerto de comunicaciones, dirigiendo el tráfico entrante a una dirección IP y dispositivo concretos de la red local.
Ya hemos hablado de esto en el artículo sobre cómo configurar el reenvío de puertos en un enrutador también explicando ¿Qué significa «puerta»? cuando se trata de computadoras.
Dicho en términos muy simples, en el contexto de las redes informáticas, el puerto es un número que representa la dirección de un programa específico. Un poco como ocurre con las direcciones de casa, si un ordenador necesita enviar datos a otro ordenador, debe saber cuál es su dirección, lo que en una red se llama dirección IP. Además, si ese paquete de datos necesita ser enviado a un determinado programa, también solicita saber el puerto de escucha de ese programa. El puerto se identifica con un número simple (por ejemplo, el puerto del navegador para cargar datos desde sitios web http siempre ha sido el número 80 por convención).
LEA TAMBIÉN: Cómo abrir puertos del enrutador
La importancia de la IP estática interna
Antes de iniciar cualquier configuración, es fundamental asignar un dirección IP estática (o una IP reservada a través de DHCP, lo cual es preferible) a la computadora o dispositivo en el que desea abrir puertos.
Si la dirección IP de su PC cambia con el tiempo, como ocurre normalmente (es una IP dinámica), la regla de reenvío de puertos configurado en el enrutador será inútil porque apuntará a la dirección incorrecta.
Para asignar una IP estática, haga:
- en la computadora: Configurando manualmente las propiedades de la tarjeta de red en Windows (opción no recomendada porque crea problemas si viajas con tu PC).
- en el enrutador: Accediendo a la configuración del enrutador (sección DHCP o LAN) y asociando la dirección MAC del dispositivo deseado con una dirección IP interna fija (p. ej.
192.168.1.50). Esta es la mejor y más duradera solución.
1. Configuración del enrutador (reenvío de puerto verdadero)
La primera barrera a superar es el enrutador, que envía datos desde Internet al dispositivo local.
Accede al Panel de Control
Para acceder al enrutador es necesario abrir el navegador y escribir la dirección IP del Puerta de enlace predeterminada. A menudo es 192.168.1.1 o 192.168.0.1pero varía según el modelo y el operador. Los datos se encuentran fácilmente en Windows abriendo el Símbolo del sistema y escribiendo ipconfig.
Tendrá que introducir sus credenciales de inicio de sesión (a menudo «admin/admin» o «admin/contraseña» si no han sido modificadas), riesgo que no recomendamos correr: lo primero que debe hacer es cambiar la contraseña predeterminado del enrutador para evitar dejar una «puerta trasera» abierta a los atacantes.
Crear la regla de reenvío
Una vez en el panel, la sección de configuración suele encontrarse bajo entradas como:
- Reenvío de puertos
- Servidor virtual
- NAT o Juego de azar
Los pasos para agregar una nueva regla son los siguientes:
- Nombre del servicio: Asigne un nombre que le recuerde el propósito (p. ej. Servidores Minecraft o Acceso remoto).
- Puerto externo (WAN): Es el puerto en el que el router «escuchará» los datos que llegan de Internet. Puede ser igual que el puerto interno o diferente, para enmascarar el servicio real (por ejemplo, use 442 para reenviar a 3389).
- Puerto interno (LAN): Es el puerto realmente utilizado por el software en la computadora local (por ejemplo, 25565 para Minecraft).
- Protocolo: seleccione el tipo de tráfico. Las opciones son tcp, UDP o Ambos. Consulte la documentación del software para saber qué protocolo requiere.
- Dirección IP local: Ingrese la IP estática interna que ha asignado a la PC o dispositivo de destino (p. ej.
192.168.1.50).
Si eso no funciona, asegúrese de que el protocolo y el número de puerto sean los mismos Exactamente los requeridos por el software. Una pequeña diferencia puede bloquear todo el tráfico.
Port Triggering: una solución para los indecisos
Como alternativa a Reenvío de puertosAlgunos enrutadores ofrecen la Activación de puerto. Mientras que el reenvío de puertos mantiene el puerto siempre abierto a una IP fija, el Activación de puerto abre el puerto sólo cuando el dispositivo local inicia la comunicación saliente en un puerto específico (el «activador»). Cuando finaliza la sesión de comunicación, el puerto externo se cierra. Es un mecanismo más seguro, pero sólo es útil para aplicaciones que ellos comienzan comunicación desde la red interna.
2. Configurar el Firewall de Windows
Después de configurar el enrutador, debe asegurarse de que el Cortafuegos de Windows (en Windows 11 y 10) no bloquea el tráfico una vez que pasa por el enrutador y llega a su PC.
El firewall actúa como una segunda capa de seguridad, controlando el tráfico entrante. En el Sistema operativo. Normalmente, cuando instala un nuevo programa que requiere un puerto abierto, Windows solicita permiso. Si esto no sucede o la conexión está bloqueada, debe crear una regla de tráfico manual entrante.
Crear una regla de entrada
- Abierto Firewall de Windows Defender con seguridad avanzada (simplemente búscalo en el menú Inicio).
- En el panel izquierdo, seleccione reglas entrantes.
- En el panel derecho, haga clic en Nueva regla….
- Elegir trae como tipo de regla y haga clic Después de usted.
- Seleccione el protocolo (TCP o UDP) y la opción Puertos locales específicosluego escriba el número de puerto interno (p. ej.
25565). - En la siguiente pantalla, seleccione la opción Permitir conexión.
- Mantenga todos los perfiles de red seleccionados (Dominio, Privado, Público), a menos que sepa exactamente lo que está haciendo y haga clic en Después de usted.
- Asigne un nombre claro a la regla (p. ej. Puerto 25565 entrante) y haga clic Fin.
De esta manera, se le indica a la PC que acepte el tráfico que llega a ese puerto específico.
El mismo procedimiento también se puede utilizar para bloquear conexiones entrantes a un determinado programa o aplicación, como se explica en la guía para bloquear el acceso a Internet de un programa con el Firewall de Windows.
NOTA: También existe otra forma más sencilla de abrir puertos en el firewall de Windows. Cuando se abra la pantalla de configuración del Firewall de Windows Defender, en lugar de presionar Configuración avanzada, haga clic en el enlace Permitir aplicaciones o funciones a través del Firewall de Windows Defender. En la siguiente pantalla, simplemente presione la cruz junto al nombre del programa para permitir que las aplicaciones se comuniquen externamente.
Redirección de puerto nativo en Windows (netsh)
Para reenvío de puertos dentro del sistema Windows, no es necesario tocar el firewall del router, pero es una operación más técnica. Windows tiene una herramienta llamada netsh que le permite redirigir el tráfico de un puerto local a otro, o a otra IP local en la misma red (útil en contextos de pruebas o máquinas virtuales).
Para redirigir el tráfico TCP que llega al puerto 8080 de su PC al puerto 80, utilice el siguiente comando en PowerShell como administrador:
netsh interface portproxy add v4tov4 listenport=8080 listenaddress=127.0.0.1 connectport=80 connectaddress=127.0.0.1La ventaja es que maneja el tráfico a nivel del sistema operativo, pero es más complejo y, para el acceso desde Internet, el reenvío de puertos del enrutador aún es necesario para dirigir el tráfico externo a la dirección IP de la PC en la que está activo netsh.
Aspectos de Seguridad: Qué evitar y sugerencias
Configurar el Reenvío de puertos no es una acción libre de riesgos. Se está reduciendo una barrera de seguridad crítica (la NAT) para un dispositivo específico. Exponer un servicio directamente a Internet requiere precaución y responsabilidad.
Evite UPnP (Plug and Play universal)
Muchos programas le piden que active elUPnP en el enrutador para abrir los puertos automáticamente. Si bien puede parecer conveniente, UPnP es una función que recomendamos desactivar. Permite cualquier Dispositivo en la red local para abrir y cerrar puertos en el enrutador. sin su autorización o conocimientoconvirtiéndose en un potencial agujero de seguridad si uno de los dispositivos se ve comprometido. Siempre es preferible el control manual.
No uses la DMZ
Allá DMZ (Zona desmilitarizada) es un escenario extremo que abre todas las puertas en el enrutador a una única dirección IP interna. Básicamente, desactiva el firewall del enrutador para esa PC, exponiéndola completamente a Internet. Esta configuración supone un enorme riesgo para la seguridad y sólo debe ser utilizada en casos muy específicos por usuarios experimentados, y nunca en un ordenador en el que se manejen datos personales sensibles.
Proteger los servicios expuestos
Si abre un puerto para un servidor, es vital:
- Utilice contraseñas seguras: Cualquier servicio expuesto (como el acceso remoto) debe tener credenciales de inicio de sesión seguras.
- Mantenga el software actualizado: Las vulnerabilidades de seguridad se descubren y solucionan con actualizaciones. El software obsoleto al que se le ha abierto un puerto es un blanco fácil.
- Restringir el acceso por IP externa: Muchos enrutadores le permiten limitar el reenvío de puertos a fuentes específicas (direcciones IP públicas externas). Si el acceso sólo debe realizarse desde una ubicación conocida (por ejemplo, la oficina), lo mejor es restringir el acceso de esta manera.
Más información sobre el reenvío de puertos
- «Tengo dos routers, ¿qué hago? (Doble NAT)»: Cuando tienes dos routers en cascada (por ejemplo, el del ISP y tu propio router Wi-Fi adicional), la operación se vuelve más compleja. El Reenvío de puertos debe configurarse en ambos los routers: el primero debe reenviar el tráfico desde su IP pública a la IP privada del segundo router, y el segundo router debe reenviar el tráfico recibido a la IP final del dispositivo. La mejor opción es configurar el enrutador de primer modo. Puente o Paso a través si es posible.
- «Mi ISP está bloqueando puertos»: Algunos operadores (especialmente en conexiones móviles o FWA) implementan la NAT de nivel de operador (CGNAT)evitando que los usuarios tengan su propia IP pública única y bloqueando efectivamente la Reenvío de puertos. En estos casos, la única solución es solicitar una IP pública dedicada al proveedor (a menudo un servicio pago) o utilizar servicios VPN que admitan el reenvío de puertos.
- «¿Abrir puertos hace que la conexión sea más rápida?»: No, abrir puertos no aumenta la velocidad de tu conexión a Internet. La velocidad está determinada por el contrato y la infraestructura. El Reenvío de puertos solo mejora la confiabilidad y estabilidad de las conexiones entrante para los servicios que lo requieran, evitando que el router los bloquee.
LEA TAMBIÉN: Cómo bloquear puertos de red en una PC con Windows
