Todo sobre DMZ: Para qué sirve y cómo configurarla en un router

Todo sobre DMZ: Para qué sirve y cómo configurarla en un router

Oscar Espinosa

Hoy en día la mayoría de conexiones a Internet utilizan IPv4, y por tanto, nuestro router hace NAT contra dicha IP pública que nos proporciona el operador. Si necesitamos abrir todos los puertos hacia una dirección IP en concreto, deberemos utilizar la función de DMZ que está incorporada en todos los routers. Hoy en RedesZone os vamos a explicar qué es la DMZ, y cómo podemos activarla a uno de los equipos de la red local doméstica. No obstante, antes de empezar, es necesario saber que abrir la DMZ hacia un equipo que no tenga protección de un firewall, es muy peligroso, porque estaremos reenviando todos los puertos y no tendremos ningún tipo de filtrado.

Normalmente, un usuario doméstico no se preocupa de las diferentes configuraciones y opciones que tiene en su router, el cual se lo ha proporcionado el operador, pero también lo ha podido comprar él mismo para sustituir el del operador que normalmente no funciona correctamente. En caso de que necesitemos montar diferentes servidores en nuestro hogar, tendremos que realizar apertura de puertos individual (port forwarding), o bien abrir la DMZ para hacer un reenvío de todos los puertos a un determinado equipo y que no tenga problemas de acceso desde el exterior.

Para qué sirve la DMZ

La DMZ (Zona desmilitarizada) nos permite abrir todos los puertos hacia una dirección IP privada en concreto. Internamente todos los routers domésticos suelen utilizar un sistema operativo Linux, por lo tanto, el firewall en Linux es iptables o nftables que nos proporcionan la funcionalidad de DMZ, con la finalidad de abrir todos los puertos hacia una IP en concreto. Esto se hace por varios motivos, y es que podemos desde abrir los puertos hacia una consola para no tener problemas con los juegos online, a realizar pruebas de firewall en un equipo hasta cambiar el router que nos proporciona la compañía. A continuación, os explicamos en detalle cuáles son los principales usos de la DMZ.

Juegos online desde PC o consola

Si queremos jugar online desde nuestro ordenador consola y no queremos tener problemas con el NAT moderado de diferentes tipos, entonces lo más recomendable es abrir la DMZ, pero solamente para las consolas, las cuales tienen un sistema operativo propio con un firewall correctamente configurado. Por seguridad, nunca es recomendable abrir la DMZ a un ordenador, a no ser que tengas un firewall muy bien configurado y activado para evitar las posibles intrusiones.

Al abrir la DMZ hacia la consola o PC, automáticamente se abrirán todos los puertos para que no haya problemas de conectividad a los juegos online, podremos activar como servidor de juegos sin tener que abrir manualmente los puertos de los diferentes juegos. Actualmente, cada juego online utiliza unos puertos determinados específicos, los cuales no pueden cambiar y tendremos que abrirlos obligatoriamente en la sección de «Reenvío de puertos» o «Port Forwarding» de nuestro router.

Pruebas de firewall o VPN en un PC

Si quieres probar el cortafuegos de tu PC o servidor desde el exterior (Internet), entonces lo más aconsejable es activar la DMZ hacia la dirección IP privada del equipo, con el objetivo de poder comprobar si tenemos algún puerto abierto que debamos proteger. Por supuesto, en el caso de no tener la DMZ activada, por defecto en todos los routers los diferentes puertos se encuentran por defecto cerrados, es decir, no tenemos ninguna regla en la sección de «Reenvío de puertos» o «Port Forwarding» de nuestro router.

Hay protocolos VPN como Ipsec que necesitan la apertura de varios puertos, y aún así, es posible que tengamos problemas de conectividad desde los clientes VPN hasta nuestro servidor VPN por tema de puertos abiertos. Si tienes este problema, nuestra recomendación es activar la DMZ hacia nuestra IP privada con el objetivo de descartar problemas de puertos, y una vez que todo esté bien configurado en la VPN, entonces proceder con el cierre de la DMZ por seguridad, y abrir solamente los puertos que de verdad vamos a necesitar.

Poner tu propio router y no tener doble NAT

En el caso de disponer una conexión de fibra óptica, muchas veces estos router vienen tan limitados o cortos en recursos, que con el paso de los días o dependiendo el uso que hagamos, se bloquean o no nos proporcionan la cobertura y velocidad Wi-Fi adecuadas. En estos casos, muchos usuarios se decantan por cambiar el router directamente por uno comprado por ellos con mejores recursos internos, mejor software y tener libertad a la hora de configurarlo.

El principal problema es que muchas veces viene tan limitado por software, directamente la compañía no nos facilita los códigos de la ONT para poder configurar un router nuevo con ONT externa o integrada, o el router del operador no nos permite configurar el modo «bridge» para que el router que nosotros conectemos sea quien tenga la IP pública. Por este motivo, la única solución que nos queda es conectar a ese router otro router, asignarle una IP fija y abrir la DMZ a ese router. Esto se realiza porque tendremos doble NAT, y en el caso de que queramos abrir un puerto a un determinado equipo, tendremos que abrir un puerto en el router principal «apuntando» al segundo router, y posteriormente en este segundo router «apuntando» a la dirección IP privada del PC en cuestión. Gracias a la DMZ del router principal, solamente tendremos que abrir los puertos en este segundo router.

Una vez que ya conocemos los principales motivos y usos para utilizar la DMZ, os vamos a poner un ejemplo de cómo abrirla en un router doméstico.

Cómo abrir la DMZ en un router

Lo primero que tenemos que tener claro es saber qué modelo de router nos ha proporcionado nuestro ISP, o qué modelo de router tenemos en nuestro hogar. Normalmente dando la vuelta al router, veremos una etiqueta que pone los datos de acceso al router como dirección IP para entrar en su administración, usuario y contraseña de acceso. En caso de no tener esta información, deberás averiguar la puerta de enlace predeterminada y acceder con las típicas credenciales «admin/admin» o similares.

Una vez has averiguado los datos de acceso, es tan sencillo como acceder a tu navegador e introducir los datos de acceso que tienes debajo del router, o has averiguado gracias a algún otro usuario que hizo una guía. Una vez dentro de la configuración del router, deberás buscar un apartado que por norma general se encuentra en la zona de «configuración avanzada de los puertos«, si no lo encuentras te aconsejamos que busques alguna guía de tu router. Una vez ahí es tan sencillo como activar la casilla de DMZ, introducir la IP para la que queremos que el tráfico pase directamente con todos los puertos abiertos y darle a aplicar. El menú de la DMZ tiene el siguiente aspecto:

Una vez que hayamos activado la DMZ y puesta la IP, simplemente basta con pinchar en «Aplicar» y ya tendremos todos los puertos disponibles.

¿La DMZ abre realmente todos los puertos?

Tenéis que tener una cosa clara, y es que si habíais activado algún puerto para una IP concreta en el port-forwarding (normalmente se llama así en los routers), esa configuración prevalece por encima de la DMZ, es decir, los puertos que hayamos abiertos específicamente tiene prioridad sobre los que no están abiertos específicamente, por lo que el tráfico de estos puertos en concreto no se desviará a la DMZ. Internamente la mayoría de routers incorporan un sistema operativo basado en Linux, y estos utilizan el firewall iptables, quien se encarga también de hacer NAT. Si nosotros hemos abierto puertos anteriormente, la regla de la DMZ se colocará justo al final de la cadena.

Nuestro consejo es que, si estáis pensando activar la DMZ y no sabéis donde se encuentra el menú, busquéis alguna guía concreta de vuestro router donde os podrán ayudar más específicamente a llegar a esta funcionalidad tan interesante. Es muy necesario que si abrís la DMZ a un determinado equipo, tenga un firewall bien configurado para filtrar todo el tráfico entrante, ya que estaremos abriendo todos los puertos (menos los que tenemos específicamente abiertos en el router), por lo que podríamos ser vulnerables a escaneos de puertos y explotación de diferentes vulnerabilidades si nuestro software no lo tenemos actualizado.

3 Comentarios