Esta herramienta solicita a nuestro servidor que abra una conexión TCP a la dirección IP pública que utilizó su navegador para cargar la página, en cualquier puerto que elija. Eso refleja lo que cualquier host en el internet ve al sondear su enrutador, no lo que muestran los escaneos de localhost dentro de su LAN. Escribí este texto basándome en un fin de semana real: el Acceso Remoto de Plex permanecía en rojo porque mi ISP de Pakistán me puso detrás de CGNAT, por lo que redirigir el puerto TCP 32400 en el enrutador nunca llegaba a mi NAS, aunque el servicio escuchaba bien localmente. A continuación, explico qué significan los tres estados, qué puertos importan y cómo verificar la redirección sin adivinar.
Qué hace esta herramienta (y qué no puede hacer)
Por razones de seguridad, JavaScript en el navegador no puede iniciar conexiones TCP arbitrarias a su IP pública. Nuestra ruta /api/open-ports lee su dirección de CF-Connecting-IP (o X-Forwarded-For) y realiza una conexión saliente de tres segundos desde nuestra infraestructura. Los resultados son open (apretón de manos completado), closed (RST inmediato: nada escuchando) o filtered (tiempo de espera agotado: el firewall o NAT descartó el SYN).
Límites que debe asimilar: solo TCP (no hay puertos de juegos UDP), un puerto por solicitud, solo su IP pública actual (sin escanear a terceros) y puntos ciegos cuando está en VPN (nos conectamos a la salida de la VPN, no a su enrutador doméstico) o CGNAT (sin asignación entrante en absoluto). Desconecte la VPN antes de probar la redirección doméstica.
Puertos comunes y rangos IANA
Los puertos son números de 16 bits (de 1 a 65535). El RFC 6335 los divide en conocidos (0 a 1023, privilegiados en Unix), registrados (1024 a 49151) y dinámicos/efímeros (49152 a 65535) para los extremos de clientes de conexiones de corta duración.
Cuando navega por la web, su sistema operativo elige localmente un puerto efímero alto y se comunica con el puerto remoto 443. Las comprobaciones entrantes como esta página invierten la dirección: el internet llama al número de puerto de su IP pública.
Puertos predeterminados para servicios comunes
| Servicio | Puerto | Protocolo | Razón típica de bloqueo |
|---|---|---|---|
| HTTP | 80 | TCP | Filtro entrante del ISP; Términos de servicio residenciales |
| HTTPS | 443 | TCP | Lo mismo; a menudo permitido en líneas comerciales |
| SSH | 22 | TCP | Riesgo de fuerza bruta; algunos ISP bloquean el tráfico entrante |
| FTP | 21 | TCP | Texto plano heredado; problemas de NAT con el modo pasivo |
| SMTP | 25 | TCP | Antispam: bloqueado en la mayoría de las IP residenciales |
| MySQL | 3306 | TCP | Nunca debería ser público; firewall por defecto |
| PostgreSQL | 5432 | TCP | Lo mismo que las bases de datos anteriores |
| RDP | 3389 | TCP | Objetivo constante de escáneres; use VPN en su lugar |
| Minecraft Java | 25565 | TCP | Necesita redirección + regla de firewall de la edición Java |
| Plex | 32400 | TCP | CGNAT rompe la redirección manual; use retransmisión o IPv6 |
Por qué un puerto aparece cerrado o filtrado cuando lo abrió
- Filtrado de ISP: el SMTP entrante (25) está bloqueado en casi todas partes en el servicio residencial. Algunos ISP también bloquean el puerto 80 para hospedaje.
- CGNAT: su enrutador comparte una dirección pública con los vecinos; no hay una asignación entrante única a menos que pague por una IP estática o use un servicio de túnel.
- Dirección de enlace de la aplicación: un servicio que escucha solo en
127.0.0.1es invisible externamente incluso si el firewall permite el puerto. - Firewall del host: Windows Defender,
ufwoiptablespueden descartar paquetes SYN antes de que lleguen al demonio. - Doble NAT: el módem del ISP más su propio enrutador sin modo puente redirige al salto incorrecto.
Redirección de puertos en lenguaje sencillo
Su enrutador traduce entre una IP pública y muchas direcciones LAN privadas. Una regla de redirección dice "cuando llegue un SYN al puerto público 32400, envíalo a 192.168.1.50:32400." El DNS dinámico ayuda cuando su IP pública cambia cada noche. IPv6 con una dirección global por dispositivo puede eliminar la NAT por completo, pero debe configurar un firewall en cada host porque las direcciones son enrutables desde el internet de forma predeterminada.
Pruebas desde la línea de comandos
Las comprobaciones locales demuestran que el demonio está escuchando; las comprobaciones externas demuestran la ruta a través de NAT. Use ambas.
# Sonda TCP rápida (GNU netcat)
nc -zv 192.168.1.50 32400
# Prueba de escucha en el servidor
nc -l 8080
# nmap: escanee solo redes que posea o para las que tenga permiso por escrito para realizar pruebas
nmap -Pn -p 22,80,443,32400 SU_IP_PUBLICAEl comando heredado telnet host port todavía funciona en algunos sistemas, pero a menudo no está instalado. Reemplácelo con nc o curl -v telnet://host:port donde esté disponible.
Seguridad: qué revelan los puertos abiertos
Los puertos abiertos responden a dos preguntas del atacante: ¿hay algo escuchando? y ¿qué firma de software responde al conectarse? Ejecutar SSH en el puerto predeterminado 22 no es automáticamente inseguro si se configuran la autenticación solo por claves y fail2ban, pero atrae ruido. Exponer bases de datos sin VPN nunca es aceptable. Mueva los paneles de administración detrás de Tailscale, WireGuard o, como mínimo, listas de IP permitidas.
Preguntas frecuentes
¿Por qué mi ISP bloquea el puerto 25?
El SMTP saliente y entrante en redes residenciales está restringido para detener el spam de botnets. Use el retransmisor autenticado de su proveedor en el puerto de envío 587 o una API de correo electrónico transaccional en lugar de ejecutar un servidor de correo doméstico en el puerto 25.
¿Cómo abro un puerto en mi enrutador?
Inicie sesión en la interfaz de administración del enrutador, busque Servidor Virtual / Redirección de Puertos, asigne el puerto TCP externo a la IP de la LAN y al puerto interno de su máquina, y asigne a esa máquina una reserva DHCP para que la IP no cambie. Luego verifique desde el exterior con esta herramienta, no solo desde la LAN.
¿Es peligroso tener puertos abiertos?
Los servicios intencionales (HTTPS en el 443) son normales. Las bases de datos abiertas o los puertos RDP inesperados son de alto riesgo. Filtrado es el estado predeterminado más seguro para usuarios domésticos; significa que el internet no puede llegar a su host incluso si un malware intenta escuchar más tarde.
¿Cuál es la diferencia entre los puertos TCP y UDP?
Son espacios de nombres separados. TCP proporciona flujos de bytes confiables (HTTP, SSH, RDP). UDP se basa en datagramas (DNS, QUIC, muchos juegos). Esta herramienta solo prueba TCP; que un juego muestre un puerto UDP abierto en su cliente no tiene relación con estos resultados.
¿Por qué esta herramienta dice que mi puerto está cerrado si lo abrí?
Causas comunes: redirección a la IP LAN incorrecta, servicio vinculado a localhost, doble NAT, CGNAT sin dirección pública, firewall del host o realizar pruebas mientras está conectado a una VPN, por lo que escaneamos el servidor VPN en lugar de su hogar. Resuelva una capa a la vez: escucha local, conexión LAN y luego esta comprobación externa.
Herramientas relacionadas
Dirección pública: Cuál es mi IP. Propietario de la red: Cuál es mi ISP. Calidad de la ruta: Cuál es mi latencia.
Fuentes citadas anteriormente
- RFC 6335: Procedimientos de puertos de la Autoridad de Números Asignados de Internet (IANA)
- Registro de nombres de servicios y números de puerto de IANA
- RFC 6598: Espacio de direcciones compartido (CGNAT)