redireccion de puertos 443 y 22

Buenas H725 

Creo que estás mezclando dos cosas totalmente diferentes.

Por defecto, el FW del Router bloquea absolutamente TODO lo que va dirigido al Router. Las reglas que tiene el FW por defecto son al contrario, para permitir únicamente el tráfico a dichos puertos del Router (no de un dispositivo interno de tu red), desde los servidores de gestión de Movistar... recordar aquí que los HGU son de Movistar, los tenemos en régimen de alquiler perpetuo mientras tengamos contrato con ellos.

Con lo que me temo que no entiendes como funciona el FW del Router. Para el Router existen 3 tipos de tráfico: De entrada, Saliente y Reenviado.

Si miras la configuración de dicho modelo del FW, hay 2 "cadenas" predeterminadas:

La primera en particular que es la que nos interesa aquí, si entiendes lo que quiere decir, se va a aplicar a TODO el tráfico de tipo "Entrada" que venga desde Internet. Y aquí está la equivocación por tu parte, el tráfico de "Entrada" no es el tráfico que va a tu red local, ese tráfico se llama "Reenviado" porque el Router lo cambia de red, pasa de Internet a tu red interna. El tráfico de Entrada es el que cuyo destino es algún servicio del propio Router. Por ejemplo, el servidor Web del Router, el servidor SSH del Router, un servidor FTP del Router.

Ese "drop" asegura que NADIE puede acceder a tu Router. Repito, tu Router, nada tiene que ver con los equipos de tu red local. Debido a ese "Drop" y que el Router descarta todo el tráfico dirigido hacia él, se crean pro defecto "reglas", que es una lista concreta que permiten en ciertos casos el tráfico a dichos servicios del Router. Como son los equipos de Gestión de Movistar.

-----------------

Todo ello no tiene absolutamente nada que ver con tener un servidor HTTPS en un NAS, ni con ningún tipo de bloqueo. Tú solo contratas una línea y tienes internet en todos lso dispositivos. Para que esto sea posible el Router tiene que hacer NAT, y eso hace por ende que sea obligatorio realizar redirecciones de puertos para ciertos servicios concretos que tengamos detrás del Router. Las redirecciones/mapeos de puertos son, de facto, tráfico "Reenviado". No es tráfico de entrada ni salida. El tráfico de entrada y salida es el que crea/origina el Router y lo envía (salida) o el que va dirigido al Router a alguno de sus servicios (Entrada). Cuando desde Internet quieres acceder al NAS de tu casa, por ejemplo, o cuando un equipo de tu casa acceder a cualquier Web, ese tráfico es de tipo "Reenviado". Y por ende, el FW del Router no tiene ningún efecto en ello, da exactamente igual que quitas el DROP de la imagen anterior, lo único que vas a lograr con ello es que se te cuelen en tu casa, y ni lo sepas, accediendo para ello al Router y por ende en parte controlando tu red.

---------------------

Como te he dicho, los HGU para poder usar los puertos 443/80, dado que los usa para uso propio el Router, se requiere modificarlos en diferentes partes, tiene un proceso diferente debido a que el Router los usa para sí mismo, obviamente. En ese modelo creo recordar, pero me puede fallar la memoria, es haciendo la redirección de puertos o en la interfaz simplificada o en la avanzada. En una de las dos al hacerlo, avisa de que mapear dicho puerto cambiará el puerto del Router a otro. Ese es el modo de hacerlo.

------------------

En otro orden de cosas, y con independencia de lo anterior, exponer a Internet puertos conocidos como el 443/22/80... es igualmente otro problema importante de seguridad. Jamás se debería de hacer uso de dichos puertos externos por propia seguridad. No se trata de que tengas tesoros ocultos, se trata de que la posibilidad de que se hagan con el control de dichos dispositivos es muy alta, ya sea para robar información, para encriptarla y la pierdas, o para usar tus equipos con fines delictivos.

-------------------------------

Por otro lado, y respondiendo a tu pregunta, no tiene absolutamente nada que ver como te he dicho el FW del Router con una redirección de puertos. Es más, ni es recomendable usarlos aun cuando el Router no los usase para él por defecto (que ya he explicado que se puede cambiar). Lo ideal es usar puertos altos, del 30.000 para arriba para evitar problemas, eso prácticamente hace "inviible" al NAS o cualquier otro dispositivo, y no afecta tampoco en nada, ya que un NAS o un servidor del tipo que sea de índole personal, lo va a usar un numero muy determinado de personas, y a efectos prácticos para el acceso externo lo único que cambia es especificar el puerto, en vez de poner midominio.es, poner midominio.es:30200 (por ejemplo).

En lo relativo a los certificados, tampoco se requiere el uso de puerto 443/80. Los certificados gratuitos que suelen permitir los NAS, que suelen ser los de Let's Encrypt por cierto, tienen 3 o 4 formas diferentes para poder emitirlo. De todas ellas, tan solo una requiere que sea a través del puerto 443, que es el sistema TLS-ALPN-01. Personalmente el que he usado siempre ha sido por DNS, DNS-01.

Como con todo, al final uno tiene que hacer un equilibrio entre que es lo que más le conviene. La seguridad siempre viene de la mano de la usabilidad. No obstante, es mucho más importante en cuanto a seguridad se refiere que el servidor no sea detectable y que este tenga un certificado autofirmado o sin certificado, a que use un puerto conocido sólo porque no se sabe configurar para que pueda tener tb un certificado válido. Obviamente es cuestión ya de gustos de cada uno, pero desde el punto de vista de la seguridad... me quedaría y con mucho la opción primera o segunda, jamás expondría en un hogar ningún servicio conocido a Internet sin tener conocimientos profundos e importantes de seguridad. Para eso, al menos deshabilitar todo acceso externo y conectarse de forma remota por VPN.

Saludos.