No se abren los puertos segun test de puertos en router askey 3505VW

Buenas dorita.1953 

El escaner exetrno saldrá "abierto" cuando exista una redirección y simultaneamente la consola tenga el puerto a la escucha.

DMZ no se debe de usar jamás en entornos residenciales. DMZ es una funcionalidad muy importante en entornos empresariales, donde precisamente su utilidad es añadir una capa importante de seguridad, generalmente aislando una red interna y segura, de otra que está expuesta a Internet. En entornos residenciales es una tontería, y se usa mal, como si fuese una suerte de redirección completa de puertos, lo cual es una barbaridad a todos los niveles, y los ejemplos son incontables.

Esto es usando a la consola de ejemplo pero es extrapolable a cualquier dispositivo que se ponga en DMZ.

Pongamos que la consola tiene en uso 4 programas: Un juego que requiere 1 puerto (llamemos puerto 10), un servidor de archivos SAMBA para compartir archivos en la red (139), un servidor FTP para almacenar cosas personales (21), y por último un servicio interno que levanta un pequeño servidor Web para poder configurar algunos ajustes (8080)

A tí te interesa como es lógico el juego, así que redireccionas manualmente el puerto que requiere el juego, el 10, hacia la consola. El resultado es que el juego funciona. Si hacen un escaner desde fuera solo saldrá ese, el puerto 10. Si se intenta acceder por FTP a la consola, obviamente no se puede.. El día que quieras acceder por FTP a la consola, puedes redireccionar el puerto 21 a la consola, y ya tendrás acceso.

Si lo hacemos por upnp, la cnosola no es tonta, hará el mapeo auto del 10, y en todo caso el 21. Esto ya puede ser un pequeño problema de seguridad porque a lo mejor no te interesa exponer el servidor FTP a Internet, pero bueno...

Si lo hacemos por DMZ, todos ellos son expuestos a Internet, incluyendo el servidor para compartir archivos o el pequeño servidor web que usa la consola para hacer ajustes de lo que sea, servicios que JAMAS deberían de estar expuestos.

Peor aun, las vulnerabilidades. Cualquier software tiene fallos, el ser humano es imperfecto, no existe el software perfecto. De vez en cuando aparecen vulnerabilidades de ciertos servicios de ciertas plataformas, a veces sin atacadas desde redes zombi, bots... por regla general el Router siempre protege a la red, con lo que la mayoría de esos ataques muchas veces solo son efectivos dentro de la propia red local. Pero si el Router usa DMZ, expone también los servicios internos que use la consola, con lo que la consola, de tener cualquiera de sus servicios una vilnerabilidad, puede ser totalmente comprometida desde el exterior..

Esto no es algo que sea teórico, es algo que pasa todos los días. Uno de los casos más famosos de los últimos años fue WannaCry, vulnerabilidad que en principio sería imposible de explotar desde Internet!! en cambio, en tu esquema, estarías acabado.

A Internet tan solo se debe de exponer lo estrictamente necesario. Cualquier servicio que se exponga aumenta el riesgo de que al final pagemos el precio. Es lo mismo cuando un usuario que posee un NAS usa upnp o DMZ en él, lo está dejando vendido, porque la probabilidad de que pueda usarse una vilnerabilidad contra el es infinitamente mayor.

-----

Por otro lado, DMZ no otorga nignuna ventaja al usuario doméstico, ninguna. Puede hacer lo mismo automáticamente y de forma mucho más liitada como upnp, o mepr aun, maleps manuales concretos, donde sabes perfectamente que expones y que no. Si expones solo el puerto 10 en el ejemplo anterior, da igual que se descubra una vulnerabilidad del servidor FTP de la conosla, porque nadie podrá jamás alcanzarla desde fuera, sería necesario un ataque interno. De lo contrario podrías directamente no enterarte siquiera, y que tu consola estuviese día y noche minando criptomonedas para otros... por poner repito un ejemplo.

Hola Theliel 

Primero de todo gracias por toda la información y por tu tiempo nuevamente, he aprendido mucho crac.

El error que tenia según lo dicho entonces, era que yo pensaba que una vez mapeados los puertos SIEMPRE tenían que redireccionarse con el dmz y tendrían que salir todos abiertos siempre y que el upnp ya si que era según lo que solicitasen desde fuera. Y a parte  que a través de la red local también se podía saber el estado de los mismos. 

Dicho esto probare a realizarlo desde la red 4g del móvil aun que bueno según dices tampoco es seguro que salgan como abiertos en la ps4, así que si salen abiertos bien, sino me quedare igual... Si noto mejoría con el modo de juego que me funciona regular, por así decirlo. Los dejare abiertos sino los dejare cerrados, ya que probando no he notado mucha mejoría, de ay que este por aquí para poder comprobarlos si se abren correctamente. Será problema de los servidores del juego que creo que en este modo de juego están fuera de España. Con los modos de juego que están en Madrid los servidores me funciona perfectamente hasta con los puertos cerrados.

También yo activaba el dmz por si no fuese compatible el upnp con según que puertos de dicho juego y que entonces no solicitase los puertos requeridos y de ay que funcione mal. Ya que como he dicho antes el upnp solo abría dos puertos y en la pagina web del juego salen un montón.

Ya que a salido el tema del DMZ y UpNp, y que recomendabas no abrir NUNCA el dmz, quería saber tu opinión. ¿No seria mejor meter un dmz a una ip local manualmente y que sea mas o menos un sistema cerrado como es la ps4 o xbox?. En vez de upnp que es un sistema que no se puede elegir hacia la ip local que desees y te abre todo lo que le soliciten hacia cualquier dispositivo sea ps4, xbox, pc, etc,etc y que son sistemas menos cerrados como en el caso de un pc.

Saludos

Buenas dorita.1953 

Te contesto punto a punto:

1º. Correcto. Un escaner externo implica lanzarlo contra la IP pública del Router desde un dispositivo con una conexión diferente. Podría ser perfectamente un movil por datos y lanzarlo a la IP pública del Router.

2º. No, incorrecto, Error. DMZ/upnp cuando lo usamos en estos términos (porque DMZ no se usa para eso y upnp se usa para muchas más cosas, pero repito eso es otra cuestión totalmente diferente), lo único que hacen es facilitar la tarea de no tener que crear manualmente las redirecciones en el Router. De modo alguno hace que la consola use o deje de usar un puerto u otro.  Aquí está tu gran confusión desde el principio.

Da exactamente igual que habilites DMZ o upnp, la consola sólo tendrá a la escucha los puertos que la consola tenga a la escucha. DMZ/upnp (repito en lo que a puertos se refiere) lo único que hacen es asegurarse de que, en caso de que la consola tenga a la escucha un puerto, ese en particular se pueda acceder desde el exterior. Eso no implica de modo alguno que estén accesible todos. Si la consola solo tiene 2 a la escucha dmz/upnp solo expondran 2 al exterior. Si la consola requiere otro adicional, DMZ/upnp hará que ese adicional esté disponible desde el exterior tb. Si la consola deja de tener un puerto concreto a la escucha, ese puerto dejará de ser accesible desde el exterior, sin importatar igualmente DMZ/upnp.

El Mapeo manual es exactamente igual, repito, DMZ/upnp simplemente facilitan la tarea para los usaurios que no conocen/saben cuales son los puertos concretos que la consola realmente va a necesitar (porque obviamente va a tener a la escucha). Es por ello que usar DMZ es un problema enorme de seguridad, y se recomienda en todo caso upnp, porque upnp puede gestionar todo ello de forma dinámica y eficiente.

Espero que quede claro este punto, que repito parece es que el realmente se atraganta.

3º.  Efectivamente, correcto, es exactamente lo que hace upnp, si la consola requiere usar 2 puertos (por ejemplo), a través de upnp los solicita al Router y el Router crea las redirecciones necesarias para que esos dos puertos de ejemplo puedan alcanzarse desde el exterior. Por seguridad por lo general cuando dichos puertpos los deja de usar la consola, a través de upnp igualmente se avisa al Router que ya no es necesario las redirecciones, y el Router las elimina.

4º. Incorrecto y Correcto. Es cierto que muchos dispositivos, incluyendo las consolas, tienen la mala costumbre de usar muchísimos más servicios (y por ende puertos) de los que realmente son necesarios. Y esto se traduce efectivamente con tener que crear muchas redirecciones en el Router, lo cual es tedioso, y además innecesario. Además esto crea problemas importantes de seguridad de todo tipo.

¿Pero es mejor usar upnp para esto? No. Cuando usas upnp la consola va a intentar abrir TODOS los que pueda de los sericios que en ese momento tenga ejecutando, sin importar si todos ellos son realmente necesarios. Es importante esa palabra. "necesarios". Por regla general las consolas dicen usar un gran número de servicios y por ende redirecciones de puertos, pero la realidad es que solo un número muy limitado de ellso son realmente los necesarios.

Tu plantenamiento es totalmente lógico, es decir, ellos te dicen que añadas 100 (por ejemplo), pero en realidad tu ves que con upnp solo usa dos, con lo que es mucho mejro usar upnp. Cierto. Pero eso tiene un problema, que si en algún momento la consola quiere redirigir algún puerto adicional para cualquier servicio propio (del tipo que sea) pero no esencial, upnp lo va a mapear también.

Que es lo ideal?? Lo ideal, si uno conoce bien todo el asunto de puertos, le preocupa la seguridad y se quiere molestar de comprobar que es o no esencial, lo ideal es crear mapeos manuales para ello, pero solo de lo que realmente es esencial. Es decir, siguiendo con tu mismo ejemplo, ser tu quien crea esos dos redirecciones manualmente,

No obstante, upnp se usa para muchas otras cuestiones, la más importante ni siquiera es la creación de redirecciones de puertos, sino para descubrimiento de dispositivos en la red. Así que en cualquier caso es recomendable tener en el Router upnp habilitado. Y por lo general la consola/juegos no te permiten usar o no usar el soporte para upnp, sino que la consola/juego automáticamente hace lo que le viene en gana, y si upnp está disponible, lo usará, y por ende creará las redirecciones que le de la gana.

5º. Se puede hacer perfectamente, el problema radica en que tu no puedes controlar el puerto que la consola esté usando en cada momento, con el emule sí. Con el emule tu puedes configurar que va a usar por ejemplo el puerto 10000, así que mientras el emule esté abierto (esencial), tu equipo va a tener el puerto 10000 a la escucha, con lo que si añades al Router el puerto 10000 y lo reenvías al equipo donde está el emule, un escaner externo te va a decir que el puerto 10000 está abierto.

con la consola es exactamente igual, pero con la consola no puedes usar el puerto que quieras, porque depende del juego, del momento, de lo que esté haciendo... puede tener un puerto a la escucha o no. Con el emule es simple, el puerto lo conoces porque lo puedes poner manualmente tú, y mientras el emule esté en ejecución, sabes que estará a la escucha. Pero esto en la consola no es una certeza. Así que tendrías todo el ti empo que lanzar un escaner en local para ver si un puerto en concreto está a la escucha, y acto seguido apuntar el puerto, entrar en el Router, crear la redirección en el Router, y hacer el escaner extenro hacia dicho puerto.

Piensa también, que aunque la consola te diga que tiene a la escucha el puerto X, el que sea, tampoco implica que la consola solicite su redirección al Router .Existen muchos servicios que son de uso local, y por ende upnp nunca va a solicitar su uso externo. Esto no pasaría ni con redirecciones manuales ni con DMZ, ya que manualmente aunque dicho puerto no esté diseñado para su acceso externo, puedes redireccionarlo igualmente, y DMZ hace lago similar

4º-

Hola Theliel 

Haber para resumir lo mas posible... E ir al "grano" y aclarar el "follón"

1.Cuando te refieres a un equipo externo a que te refieres exactamente. Como te pregunte mas arriba me valdría con conectarme al ordenador con la red 4G del móvil y lanzar el nmap a la ip publica desde ay?. Y si no se puede así como podría realizarlo?.

2. Si activo el DMZ o el upnp, en el dmz me tendría que salir como abiertos todos los puertos no es así?. ya que la consola ps4 mandaría todos los puertos que le pidieran.

3. Con upnp solo saldrían los que le pidan a la consola ps4. En mi caso solo abre dos el router para el juego que utilizo.

4. Y ya claro después estaría abrirlos manualmente pero todos los que recomienda el juego es una "salvajada" ya que son muchísimos. Y para abrir los dos que abre el upnp ya activo el upnp.

5. Lo que quiero desde un principio es simplemente comprobar que los puertos que abre el router los abre realmente, si localmente no se puede, pues entonces mi objetivo siempre es desde fuera. Para concretar mas lo que quiero es una cosa parecida a lo que hace el test de emule para saber que puedes tener id alta pero con los puertos de la ps4. Nada mas.

Buenas dorita.1953 

He sido totalmente claro desde el principio, eres tú quien se lia, lee mis post anteriores:

Preguntabas: "Para saber si la consola tiene un puerto concreto en escucha entonces hacia que ip lanzo el nmap hacia la ip publica, o de que manera tendría que lanzarlo?"

Y te contestaba perfectamente como hacerlo. Para saber si la consola tiene un puerto a la escucha un escaneo local a todo el rango de puertos. De echo en mi propia contestación te ponía claro:

"Para saber si la consola tiene un puerto a la escucha. QUE NO TIENE NADA QUE VER CON EL ROUTER NI CON REDIRECCIONES DEL ROUTER NI DE APERTURAS DE PUERTOS DEL ROUTER, es suficiente con lanzar un escaner completo al a consola DESDE LA RED LOCAL"

Dicho de otro modo, te he contestado perfectamente a lo que preguntabas. Sigues mezclando puertos que la consola tenga a la escucha, con puertos que la consola tenga a la escucha y mapeados desde fuera.

Si quieres saber si los puertos que tiene la consola a la escucha en ese momento dado son alcanzables del exterior, es muy simple, con los puertos obtenidos abiertos en la red local (con el escaner anterior), puedes ir al Router, añadir dos reglas a NAT/VirtualServer/PortForwarding de los dos puertos TCP obtenidos hacia la IP de la consola, y ahora si haces un escaner DESDE FUERA DE LA RED a la IP pública de tu red (te hace falta un equipo externo por ende), hacia esos dos puertos, y ambos te aparecerán abiertos desde fuera, porque el Router reenviará el tráfico a la consola, y dado que la consola tiene ambos puertos a la escucha, saldrán abiertos.

Si un escaner de puertos ejefcutado en local te da abiertos con nmap el 9295 y el

Hola Theliel 

Lo que quiero y he querido desde un principio es saber si se pueden comprobar no desde el la consola del nmap sino desde fuera a la ps4. Si es posible dime como hacerlo.

Buenas dorita.1953 

No, te vuelves a equivocar como al principio compañero. Estás de nuevo mezclando cosas. DMZ/UPNP/MapeosManuales... NO TIENE NADA QUE VER, CON QUE LA CONSOLA TENGA O NO TENGA UN PUERTO A ESCUCHA. NADA.

Da exactamente igual que uses DMZ en el Router, la consola no va a poner a la escucha más o menos puertos. Olvídate del Router, que la consola tenga o no X puertos a la escucha SOLO DEPENDE de la consola y los procesos/servicios que se ejecuten en ella, NADA MAS.

Cuando lanzas un escaner "contra" la consola, miras la consola, como si desconectas el Router y conectas el PC y la consola a un Switch ,es lo mismo. Un Router JAMAS hace de ningún modo que otro dispositivo use o no use un puerto!! Te lo dije al principio, es el dispositivo (la consola en este caso) la que va a poner un puerto a la escucha si lo necesita. Punto y final. El papel del Router es necesario SOLO cuando la consola tiene el puerto X a la escucha, y se requiere el acceso externo a dicho puerto que está a la escucha. El Router lo único que hace es servir de puente entre el exterior, y el puerto a la escucha que tenga la consola, NO PONE A LA ESCUCHA NADA.

En tu escaner, en TCP, pues la consola tiene a la escucha (está usando, tiene abierto...) el 9295 y el 41800. Eso no lo ha decidido el Router, ni tampoco el Router hace que tenga más o menos. La consola está usando essos porque tendrá servicios/aplicaciones que los están usando, nada más. DMZ/UPNP/Mapeos solo sería necesario en el caso concreto de que dichos puertos (que están en ese momento a la escucha en la consola) fuesen necesario ser alcanzados desde fuera de tu red local

Hola Theliel 

Aquí dejo el tcp como dije ayer en las mismas condiciones que el udp:

Starting Nmap 7.91 ( https://nmap.org ) at 2021-07-28 23:23 Hora de verano romance
Nmap scan report for 192.168....
Host is up (0.0012s latency).
Not shown: 65533 closed ports
PORT STATE SERVICE
9295/tcp open armcenterhttps
41800/tcp open unknown
MAC Address: F8:46:1C......(Sony Interactive Entertainment)

Nmap done: 1 IP address (1 host up) scanned in 983.55 seconds

Hola Técnico-Movistar 

Como puede ver en la ultima respuesta, no. Ya que sigue sin salir lo que se espera cuando se activa el dmz

Hola dorita.1953.

Te pedimos disculpas por las molestias ocasionadas. ¿Podrías confirmarnos si con la información facilitada por Theliel (muchas gracias por tu aportación), ha quedado resuelta tu consulta, por favor? 

Un saludo.

Angela.