Puertos TCP y UDP: Cómo abrir los puertos en cualquier router

Puertos TCP y UDP: Cómo abrir los puertos en cualquier router

Oscar Espinosa

Hoy en día, y gracias al protocolo UPnP ya no es tan necesario tener que abrir puertos en nuestros routers de forma manual como hacíamos antaño. Sin embargo, aún hay excepciones como algunas aplicaciones, o juegos que no nos queda más remedio que abrir los puertos manualmente, ya que no disponen de esta funcionalidad incorporada, y no son capaces de «decirle» al router que necesitan ser accesibles por un puerto externo. Hoy os explicaremos cómo abrir puertos (port forwarding) en cualquier router.

 

Pasos para abrir los puertos en el router

No es la primera vez que, sobre todo jugadores de videojuegos de consolas, se quejan de que tienen una NAT mala, o que tienen problemas de conexión por culpa de los puertos. Sin embargo, también hay casos como usuarios más avanzados que necesitan abrir puertos para su servidor FTP, SSH, servidor VPN, aplicación de videovigilancia, acceso remoto o cualquier motivo que se os ocurra. Este tipo de problemas no se solucionan con el servicio UPnP que normalmente tienen activado de serie todos los router de manera predeterminada, y el cual, por seguridad, es recomendable desactivarlo ya que es posible que nuestra cámara IP sin nosotros saberlo, abra un puerto y puedan acceder remotamente.

También puede que necesites abrir los puertos del router para que una aplicación en concreto funcione mejor. Por ejemplo un programa para realizar descargas, realizar videollamadas como Skype, etc. En estos casos la solución pasa por abrir los puertos de forma manual y lograr así un mejor funcionamiento. Además, para el trabajo en remoto puede que necesites usar ciertos programas para conectarte a otro equipo que se encuentra en otro lugar o establecer una comunicación con otra persona. En estos casos también puede ser necesario abrir determinados puertos para que la conexión funcione correctamente.

Por ello es necesario en muchas ocasiones abrir los puertos TCP y UDP del router y evitar así ciertos problemas. El objetivo es lograr que algún programa en concreto funcione correctamente, como por ejemplo sería una aplicación para descargar, un juego online que tiene que conectarse a servidores, etc. Siempre con precaución, asegurándonos de que estamos abriendo los puertos correctos, podemos hacerlo de una manera sencilla como vamos a explicar.

 

¿Por qué necesitas reenviar puertos?

De forma predeterminada, todos los puertos en sentido entrada (desde Internet hacia un ordenador) están bloqueados en los routers modernos, esta es una excelente característica de seguridad porque evita que las solicitudes maliciosas lleguen a los procesos centrales que pueden estar ejecutándose en nuestro ordenador, sin embargo, al mismo tiempo, esto también puede generar problemas para las aplicaciones que necesitan que se les envíe información desde Internet: el enrutador las bloqueará.

Si deseamos permitir que se envíe información a un equipo interno desde Internet, deberás decirle al router que reenvíe un puerto determinado, como resultado, cuando el router recibe un paquete destinado a un puerto específico, se reenvía a un equipo local específico. Pero configurar el reenvío de puertos manualmente cada vez puede resultar complicado, por lo que se desarrolló UPnP.

Universal Plug and Play maneja automáticamente el proceso de reenvío de puertos y funciona bien en su mayor parte. Sin embargo, hay algunos casos en los que te defraudará o podría desactivarse en tu router por motivos de seguridad, de cualquier manera, en este escenario, no tienes otra opción que reenviar los puertos manualmente.

 

Acceder al router

Lo primero que debéis hacer si queremos abrir los puertos es averiguar los datos de acceso de nuestro router. Actualmente casi todos los routers nuevos tienen una pegatina debajo del mismo donde indican: dirección IP de gestión, nombre de usuario y contraseña de acceso. Si en tu caso no tienes esos datos, te aconsejamos que busques algún manual de usuario para acceder correctamente ya que estamos seguros que encontrarás esta información.

Normalmente las credenciales de acceso son «admin/admin», «1234/1234» o similar, para conseguir la dirección IP de tu router, debes abrir una consola de cmd en Windows poniendo en el propio buscador de Windows simplemente «cmd» o Símbolo del sistema y pulsamos intro. Una vez que estemos en la consola, simplemente debemos poner «ipconfig» y nos saldrá algo como esto:

La IP de la puerta de enlace predeterminada es la que tendréis que poner directamente en el navegador web. Una vez averiguado los datos de acceso es tan sencillo como acceder vía navegador web a la dirección IP de gestión, normalmente suele ser 192.168.1.1 o 192.168.0.1, dependerá de cada router cómo lo tenga configurado. Eso sí, nuestro consejo es cambiar siempre la contraseña para acceder al router, ya que es tan importante como la propia clave del Wi-Fi. Esto nos ayudará a evitar problemas de seguridad.

Si por algún motivo hubieras cambiado la contraseña de acceso al router y no supieras cuál es, la opción que te quedaría es la de resetear el dispositivo. Esto devolverá la configuración a los valores predeterminados, tal y como venían de fábrica, y podrás poner la clave de acceso que viene. No obstante, deberías cambiarla de nuevo para lograr que la seguridad sea la adecuada y evitar así intrusos en tu red, una vez hayas abierto los puertos.

 

Buscar la sección de NAT, Virtual Server o Port Forwarding

Dependiendo del fabricante del router, en el firmware podremos encontrar el menú como «NAT», «Virtual Server» y también como «Port Forwarding». Deberemos encontrar esta opción navegando por los diferentes menús de nuestro router, normalmente se encontrará en la sección de opciones avanzadas, o simplemente en la sección de «abrir puertos».

La NAT es una tecnología que nos permite salir a Internet con múltiples dispositivos a través de la misma dirección IP pública. Con el Network Address Translation, el router se encargará de traducir las direcciones IP privadas internas, en la dirección IP pública externa, y viceversa, de tal forma que podamos tener comunicación sin problemas. Si queremos comunicarnos desde el interior de la NAT (desde las direcciones IP privadas) con Internet, podremos hacerlo sin necesidad de abrir ningún puerto, ya que la NAT se encarga de ello.

Solamente hay que abrir puertos en el caso de que tengamos que realizar una comunicación desde Internet (desde el exterior de la NAT) hacia el interior, por ejemplo, para acceder a un servidor FTP, FTPES, servidor SSH, servidor OpenVPN o cualquier otro servicio al que queramos dotar de conectividad. En estos casos, sí tendremos que abrir un puerto en la NAT para dejar pasar los paquetes de datos hasta su destino (un servicio de un PC o servidor).

 

Abrir los puertos en cualquier router

Una vez dentro del menú de configuración de los puertos, normalmente encontraremos o una casilla en blanco o una tecla de “+”, y será tan sencillo como en los campos siguientes introducir los datos adecuados. Nosotros hemos utilizado un router de ASUS donde la interfaz gráfica de usuario es muy intuitiva.

  • Nombre del servicio: Aquí introduciremos el nombre de la aplicación que usará el puerto que queremos abrir, podemos poner lo que nosotros queramos.
  • Protocolo: Aquí debemos indicar si usa el protocolo TCP, UDP o BOTH (ambos protocolos)
  • Puerto Externo: Este es el puerto que deberemos abrir en el router, es fundamental que, si la videoconsola o el servidor necesita un determinado puerto, usemos este en concreto. Debemos tener en cuenta que no podemos abrir el mismo puerto externo a dos equipos diferentes de la LAN.
  • Puerto Interno: Algunos routers permiten hacer un reenvío de puertos internos, es decir, si únicamente rellenamos el puerto externo, el puerto interno será exactamente el mismo, pero podremos cambiar esto bajo demanda, por este motivo, esto es opcional.
  • Dirección IP interna: Aquí tenemos que introducir la dirección IP del equipo de destino de dentro de nuestra red.
  • Dirección IP origen: En algunos casos podremos filtrar por dirección IP de origen, para tener una seguridad adicional. Esta opción normalmente no la tenemos disponible en routers de operadores, pero sí la tenemos en routers más avanzados como los ASUS.

Una vez realizado esto solo faltará aplicar los cambios y ya tendremos la configuración realizada para los puertos introducidos. Una aclaración, si queremos abrir diferentes puertos no consecutivos tendremos que utilizar la sintaxis que nos explica ASUS en la parte inferior. Algunos router dejan realizar seguido y otros tienes que aplicar el cambio en cada puerto introducido.

 

Abrir los puertos en el router ZTE F680

Ahora os vamos a enseñar cómo se abren los puertos en otro router, concretamente en el ZTE F680 que antes comercializaba Jazztel y también Masmóvil:

  • Enable: tenemos que activar esta casilla para poner en marcha la regla
  • Name: el nombre de la regla, podemos poner lo que queramos.
  • Protocol: TCP, UDP o también nos permitirá configurar ambos (TCP y UDP a la vez).
  • WAN Host Start IP Address y WAN Host End IP Address: lo dejamos en blanco, sin rellenar.
  • WAN Connection: Seleccionamos la propia conexión WAN, no lo tocamos
  • WAN Start Port: Aquí ponemos el número del puerto que queremos abrir con acceso a internet.
  • WAN End Port: Si solo es un puerto el que queremos abrir, introduciremos el mismo número de puerto que el inicial, sin embargo, si queremos abrir un grupo de puertos seguidos, por ejemplo, del 100 al 200, aquí introduciremos el ultimo puerto a abrir. Tener en cuenta que todos los puertos desde el inicial al final se abrirán.
  • Enable MAC Mapping: lo dejamos desactivado.
  • LAN Host IP Address: es la dirección IP privada del ordenador al que queremos abrir el puerto
  • LAN Host Start Port: lo dejamos en blanco para abrir el mismo puerto externo e interno (como antes ocurría en el ASUS).
  • LAN Host End Port: lo dejamos en blanco para abrir el mismo puerto externo e interno (como antes ocurría en el ASUS).

Tal y como habéis visto, los menús de configuración son similares entre los diferentes routers, aunque en algunos casos nos permite un mayor o menor abanico de posibilidades en la configuración.

Una vez que hayamos configurado el puerto, aplicamos cambios y comprobamos el acceso desde el exterior (Inernet). También os queremos recomendar que, una vez realizada la configuración a vuestro gusto, es recomendable realizar un backup de la configuración del router, ya que si hacéis un RESET o vuestro operador actualiza el router, es muy posible que lo devuelva a valores de fábrica. Con este backup podréis restaurarlo posteriormente para no tener que configurar nuevamente los puertos manualmente.

 

Abrir puertos en el HGU de Movistar

En el caso del router de Movistar, puedes abrir los puertos de una manera sencilla. Para ello tienes que acceder a la configuración del aparato, como hemos explicado anteriormente. La puerta de enlace es 192.168.1.1, salvo que la hayas modificado. Pones los datos de acceso y entras. Una vez dentro tienes que pinchar en el menú de arriba a la izquierda, pinchas en Puertos y le das a Configuración de puertos.

Allí tienes que rellenar una serie de datos como puedes ver en la imagen de abajo. Tienes que poner la dirección IP del dispositivo donde vamos a establecer las conexiones, el protocolo, el rango de puerto (salvo que sea uno en concreto) y también puedes ponerle un nombre a esa regla de puertos. Por ejemplo podrías ponerle «Puertos para jugar online». Esto te ayudará a identificar esos puertos que has abierto y si en un futuro necesitas cerrarlo, será más sencillo y rápido.

Abrir puertos router HGU

Una vez lo hayas rellenado correctamente solo tienes que darle a Añadir. A partir de ese momento, ese puerto o esos puertos que hayas configurado ya estarán abiertos en tu router HGU de Movistar. Podrás ver en cualquier momento cuáles tienes abiertos y revertir la situación en caso de que lo necesites. Si necesitas cerrarlos, solo tienes que seguir los mismos pasos y eliminas esa regla que has creado. Como le has dado un nombre concreto, eso hará que sea más sencillo encontrarlo.

Otra opción es a través del portal Alejandra, del router de Movistar, donde encontrarás incluso puertos específicos con su nombre donde únicamente tienes que seleccionar el que te interese y lo abres. Es una alternativa a tener que acceder de forma manual a la configuración y poner los puertos. Suelen aparecer los puertos que son más comunes y su nombre, para poder abrirlos o cerrarlos rápidamente.

 

Abrir puertos en el router Asus RT-AC88U

Lo primero que tenemos que tener en cuenta es que los routers Asus RT-AC88U tienen un firewall bastante simple para ayudarnos un poco a proteger nuestra red doméstica de intrusos y que en la mayoría de los casos su funcionamiento impide o bloquea las conexiones y hace que sea necesario la apertura de puertos de manera manual para algunas aplicaciones o incluso algunos juegos en línea, para llevar esto a cabo, lo que tendremos que hacer es reenviar los puertos configurando la función llamada PortForwarding en nuestro nuevo router Asus.

Es un proceso bastante sencillo y en principio es bastante básico, lo primero que tienes que hacer es configurar una IP estática en tu ordenador o en el dispositivo al que se supone que queremos reenviar dicho puerto, luego deberemos iniciar sesión en nuestro router Asus RT-AC88U y posteriormente nos dirigimos a la sección que se llama reenvío de puertos.

Una vez allí, solo tienes que hacer clic en el apartado WAN y posteriormente en el que se llama Servidor virtual/Reenvío de puertos y por último crear una entrada para realizar el reenvío del mismo.

Algunos modelos de routers cuentan con una aplicación para el móvil y desde estos programas podrás configurar algunos parámetros del dispositivo, como es cambiar la contraseña del Wi-Fi, crear una red de invitados o, también, abrir o cerrar los puertos, cabe destacar que noo es algo que esté presentes en todos los modelos, pero sí puede que el tuyo disponga de esta opción y puedas tenerla en cuenta en lugar de tener que acceder a la configuración desde el navegador.

Existen en Internet múltiples herramientas para realizar escáner de puertos, y comprobar que efectivamente hemos abierto correctamente el puerto en nuestro router, es muy recomendable hacer uso de este tipo de escáneres de puertos para verificar la configuración, si por ejemplo necesitas abrir un puerto específico para jugar online, puedes comprobar si realmente se ha abierto correctamente o no de una manera muy rápida y sencilla.

 

Abrir puertos en el router D-Link

Cuando hablamos de las conexiones de nuestros routers, hay que tener en cuenta que, normalmente, vienen con una configuración predeterminada que bloquea en su mayoría las conexiones entrantes a nuestra red y permite por el contrario la gran mayoría de conexiones salientes a Internet.

Es por esto que, en algunos casos, tenemos la necesidad de permitir algunas de estas conexiones bloqueadas de manera manual, el proceso para hacerlo en los routers D-Link es parecido al de la mayoría de fabricantes en general.

En primer lugar, para realizar la liberación de un puerto en particular lo que debemos hacer es abrir nuestro navegador y entrar en la página de administración de nuestro router, esto podemos hacerlo normalmente en http://192.168.0.1 o en el caso de los routers D-Link también podemos acceder desde http://dlinkrouter.local.

Una vez allí, debemos hacer clic en la pestaña de función y en ella hacemos clic en reenvío de puertos o port forwarding, luego debemos entrar en servidor virtual y posteriormente pulsamos en el botón crear regla.

En esta ventana, debemos colocar un nombre a nuestra nueva regla, también debemos ingresar la dirección IP del dispositivo para el que estamos abriendo el puerto y además debemos especificar el tipo de puerto que deseamos abrir, sea TCP o UDP y posteriormente debemos indicar el número de puerto que deseamos abrir.

Cabe destacar que, si deseamos abrir varios puertos al mismo tiempo, también podemos hacerlo, debemos seguir exactamente los mismos pasos indicados anteriormente. La única diferencia radica en que una vez que hemos colocado el nombre a nuestra regla y hemos especificado la IP del equipo para el que vamos a abrir los puertos. En el caso de puertos TCP debemos indicar los distintos números separados por comas y en el caso de UDP es de la misma forma, separado por comas, también podemos hacerlo por rangos de puertos separados por guiones dichos puertos.

 

¿Por qué el puerto abierto en el router no me funciona?

Como hemos visto anteriormente, para que muchos servicios funcionen correctamente es totalmente necesario abrir un puerto en la NAT del router. Este proceso no es nada complejo, pero requiere que hagamos una serie de pasos específicos dependiendo de cuál sea nuestro router. Si nos olvidamos de hacer alguno de los pasos anteriormente mencionados, el puerto no estará correctamente abierto y no podremos usar el servicio desde fuera. Por ejemplo, algunos programas P2P, servidores como FTP, FTPES o SSH así como el servidor VPN necesitan abrir este tipo de puertos obligatoriamente.

Es posible que no te funcione el puerto que has abierto debido a que se te haya olvidado algún paso, es muy importante fijarnos bien en los siguientes aspectos:

  • La dirección IP local o también conocida como dirección IP privada.
  • El router y la configuración que hayas realizado.
  • El tipo de IP pública y el CG-NAT.
  • El firewall de Windows.
  • El programa en cuestión.

Es muy importante que la dirección IP privada del dispositivo en cuestión no cambie nunca, es muy importante poner una dirección IP privada fija de manera manual en el ordenador o servidor. En Windows debes irte a «Configuración, Red e Internet, Estado y Cambiar las opciones del adaptador» y pinchar con el clic derecho del ratón en «Propiedades» y finalmente doble clic en «Protocolo de Internet versión 4«.

Otra opción mucho más elegante es entrar vía web al router usando el servidor DHCP estático o «Static DHCP» en el apartado correspondiente del firmware. Aquí tendremos que poner la dirección MAC de la tarjeta de red, y la dirección IP privada que tú quieras. Cuando abras los puertos en el router debes hacerlo hacia esa dirección IP local.

Es completamente necesario y obligatorio que nuestro operador nos proporcione una dirección IP pública, si tenemos CG-NAT en nuestra conexión no podremos acceder desde el exterior. Esto es algo completamente normal, y es lo primero de lo que debes asegurarte para ello. Por supuesto, si estamos abriendo un puerto en el router, nos tenemos que asegurar al 100% de que el firewall de nuestro PC no está interfiriendo con la comunicación.

 

Finalmente, también sería recomendable revisar si el programa que estamos usando está bien configurado, y justamente utiliza el puerto que hemos abierto en el router, de lo contrario, no funcionará.

 

Peligros de abrir los puertos

Cuando abrimos puertos en nuestro router, es siempre buscando los beneficios que esto tendrá sobre nuestra conexión o sobre el uso de alguna aplicación o servicio. Pero este proceso se debe realizar con cautela, pues puede traer algunos problemas, algunos de ellos desconocidos que pueden comprometer nuestros datos y seguridad en general.

Lo primero a lo que podemos estar expuestos  a ataques con malware, troyanos y accesos no autorizados. Muchos de ellos utilizan puertos específicos para realizar la comunicación, y acceder a nuestro equipo por medio de paquetes de datos. Para esto, realizan escaneos muy detallados para conocer cuales son los puertos que tiene una red abiertos, junto con monitorizaciones para que los programas maliciosos se envíen de forma automática al detectar la apertura del puerto.

La exposición a vulnerabilidades en general aumenta en todos los sentidos, pues los atacantes pueden realizar un proceso similar al anterior. Realizar análisis para crear listados con los que conocen los puertos abiertos, y viendo los puntos que están más expuestos a débiles ante los ataques.

Los ataques DDoS son uno de los grandes problemas que nos podemos encontrar. Aprovechan una puerta de entrada en la red, para facilitar la transferencia de datos con algún servicio de forma masiva, generando un colapso del ancho de banda, lo cual derivará el tráfico a otro puerto. En el momento que ninguno puede aceptar más tráfico, se genera la denegación del servicio.

Por lo cual, antes de abrir los puertos en nuestros router, debemos asegurarnos que estamos debidamente protegidos ante cualquier tipo de problema que se pueda presentar. Lo más recomendable, es tener los puertos sometidos a escaneos constantes en tiempo real que nos ayuden a adelantarnos a los atacantes. Esto se puede configurar de forma que al detectar un problema, el puerto se cierra de forma automática.

 

¿Cuáles son los puertos más peligrosos?

Como has visto, abrir los puertos puede ser tan beneficioso en algunas ocasiones como perjudicial en otras. Pero ante todo esto, debemos decir que hay puertos que son más peligrosos que otros. Sobre todo porque están relacionados con ciertas cosas que son mucho más sencillas de explotar. Es decir, vulnerabilidades más propicias a recibir un ataque.

  • Puertos FTP 20 y 21: Están dedicados a la transferencia de archivos. Y su uso permite a los usuarios enviar y recibir archivos desde servidores a sus equipos personales.
  • SSH 22: Se trata de un puerto TCP que se utiliza para garantizar los accesos remotos de forma segura. Mediante el uso de exploits con fuerza bruta, se puede obtener acceso a los equipos que se conectan por este puerto.
  • SMB 139, 137, 445: Es utilizado para brindar acceso compartido a archivos e impresoras en red. Por lo cual se puede llegar a explotar con vulnerabilidades como Eternal Blue.
  • DNS 53: Es un puerto TCP y UDP que se emplea para transferencias. Para atacar, existen exploits que son muy comunes para realizar ataques distribuidos de denegación de servicio.
  • HTTP / HTTPS 443, 80, 8080, 8443: Todos conocemos estos dos protocolos. Estos son vulnerables mediante estos puertos utilizando inyecciones de SQL. Estas contienen líneas de comandos falsos o de diferentes solicitudes.
  • Telnet 23: Permite a los usuarios realizar una conexión remota por internet. Si bien ha sido sustituido por SSH, algunos sitios aún lo utilizan. Actualmente no se encuentra actualizado, por lo cual es muy inseguro y vulnerable a los malware.
  • TFTP 69: Se emplea para transferir archivos. Y de nuevo puede ser atacado mediante un DDoS.

Todo esto hace que la apertura de puertos, sea algo que no debemos tomarnos a la ligera. En todo caso, muchos servicios pueden llegar a utilizarlos debido a que están destinados al servicio que ofrecen. Entonces lo más recomendable es contar también con sistemas de protección, como antivirus y firewall.

En definitiva, como has podido ver en ocasiones es interesante abrir los puertos del router. Es algo que puede aportar un mejor funcionamiento a la hora de jugar online, de usar ciertas aplicaciones o servicios en Internet. Hemos mostrado cómo abrirlos en algunos modelos concretos, pero en general es muy similar en cualquier router. Únicamente vas a necesitar conocer algunos datos para poder entrar en la configuración y podrás abrirlos fácilmente. Por seguridad, como has visto, van a venir cerrados y así evitar posibles ataques que puedan afectar a las conexiones.

7 Comentarios