Navigaweb.net logo

Guida al Port Forwarding sul Router e NAT Aperto

Aggiornato il: Scritto Da: - @pomhey
Sblocca il traffico di rete esterno per server e gaming. Mappare le connessioni TCP/UDP, superare i blocchi NAT e fissare gli indirizzi locali
Apertura porte router

Tentare di ospitare una partita multiplayer, accedere alla propria telecamera di sicurezza da remoto o configurare un media server personale si scontra spesso con un muro invisibile: il blocco delle connessioni in entrata. I router moderni agiscono come guardiani severi, permettendo al traffico di uscire liberamente verso internet ma bloccando tutto ciò che tenta di entrare senza un invito specifico. Questo comportamento, noto come "NAT Ristretto" o "Moderato" nelle console di gioco, impedisce la comunicazione diretta tra dispositivi esterni e la rete domestica.

Il responsabile tecnico è il NAT (Network Address Translation). Immaginando il router come il centralino di un grande ufficio, esiste un solo numero di telefono pubblico per centinaia di interni. Se arriva una chiamata dall'esterno senza specificare l'interno, la comunicazione cade. Configurare il Port Forwarding significa istruire il router su dove smistare esattamente i pacchetti dati in arrivo, trasformando un vicolo cieco in un tunnel di comunicazione diretto.

LEGGI ANCHE -> Come aprire le porte del Router

Indirizzo IP Statico: il prerequisito fondamentale

Prima di toccare qualsiasi impostazione di inoltro, è necessario assicurarsi che il dispositivo di destinazione (PC, Console, Raspberry Pi) abbia un indirizzo immobile all'interno della rete locale. Se il router assegna un IP diverso ogni volta che si riavvia il dispositivo (tramite DHCP), la regola di port forwarding punterà al vuoto dopo pochi giorni, rendendo inutile la configurazione.

Esistono due metodi per impostare un IP statico sul computer in uso:

  • Prenotazione DHCP (Metodo Migliore): Si accede all'interfaccia del router, si cerca la lista dei client connessi e si associa l'indirizzo MAC del dispositivo a un IP specifico (es. 192.168.1.50). Questo metodo centralizza la gestione ed evita conflitti di indirizzi IP duplicati.
  • Configurazione Manuale sul Dispositivo: Si impostano i parametri nella scheda di rete del sistema operativo. Su Windows, ad esempio, si apre il prompt dei comandi, si digita ipconfig per leggere Gateway e Subnet Mask, e si inseriscono questi dati nelle proprietà del protocollo IPv4 della scheda di rete, scegliendo un IP libero finale (es. .200) per evitare sovrapposizioni.

LEGGI ANCHE: Come aprire porte su Windows

Accesso e Mappatura delle Porte

Entrare nel router per accedere alle impostazioni avviene digitando l'indirizzo del gateway (spesso 192.168.1.1 o 192.168.0.1) nel browser. Le credenziali, se non modificate, si trovano sull'etichetta sotto l'apparecchio. Una volta dentro, la terminologia varia: cercare sezioni denominate Inoltro porte, Virtual Server, NAT Forwarding o Applicazioni e Giochi.

La creazione della regola richiede precisione nei seguenti campi:

Protocollo (TCP vs UDP)

Le comunicazioni viaggiano su binari diversi. Il TCP verifica che i dati arrivino integri (usato per web server, FTP, Minecraft), mentre l'UDP privilegia la velocità alla precisione (fondamentale per lo streaming video e sparatutto online come Call of Duty). Se la documentazione del software non specifica il protocollo, selezionare l'opzione Both o TCP/UDP per evitare malfunzionamenti.

Porte Esterne e Interne

La Porta Esterna è il numero che verrà contattato da internet. La Porta Interna è quella su cui il software locale è in ascolto. Solitamente coincidono (es. 32400 per Plex). Tuttavia, per sicurezza, si può usare il "Port Translation": aprire una porta esterna non standard (es. 45000) e reindirizzarla alla porta standard interna (es. 80 per una telecamera). Questo riduce il rumore di fondo causato dai bot che scansionano le porte comuni.

Il problema del Doppio NAT e del CGNAT

A volte, pur configurando tutto correttamente, le porte restano chiuse. Questo accade frequentemente in due scenari specifici che richiedono un'analisi diversa.

Il Doppio NAT si verifica quando in casa sono presenti due router in cascata (es. il modem dell'operatore più un router gaming personale). In questo caso, l'inoltro va fatto due volte: dal modem al router personale, e dal router personale al dispositivo finale. La soluzione più pulita è impostare il modem dell'operatore in modalità "Bridge" o mettere il router personale nella DMZ del primo modem.

Il CGNAT (Carrier-Grade NAT) è invece un ostacolo imposto dai provider, tipico delle connessioni 4G/5G, Starlink e alcune fibre ottiche economiche (es. Sky Wifi o provider locali). L'operatore condivide lo stesso IP pubblico tra molti clienti. Se l'indirizzo IP WAN nel router è diverso da quello mostrato su siti come WhatIsMyIP, non c'è port forwarding che tenga. Bisogna richiedere un IP pubblico statico all'assistenza o passare a protocolli moderni come IPv6, che elimina alla radice la necessità del NAT.

Istruzioni per i Router più diffusi

Le interfacce cambiano, ma la logica resta identica. Ecco dove cercare nei modelli più comuni:

  • AVM Fritz!Box: Navigare in Internet > Abilitazioni > Abilitazione porte. AVM gestisce le regole per dispositivo, quindi bisogna prima selezionare il PC o la console e poi aggiungere l'applicazione specifica.
  • ASUS (ASUSWRT): Nel menu laterale, selezionare WAN e poi la scheda Virtual Server / Port Forwarding. Asus offre un comodo menu a tendina con pre-impostazioni per giochi famosi che compilano automaticamente i campi.
  • TP-Link: Solitamente situato sotto Advanced > NAT Forwarding > Virtual Servers. Attenzione a non confonderlo con il "Port Triggering", che serve per scopi diversi e dinamici.
  • Vodafone Station / Fastgate: Questi router forniti dagli ISP hanno spesso menu semplificati. Cercare la "Modalità Esperto" o impostazioni avanzate per trovare la voce "Port Mapping".
  • Aprire le porte su modem Fastweb: Abbiamo già spiegato nel dettaglio come aprire le porte di un router Fastweb aprendo un browser connesso ad esso, digitando 192.168.1.254 nella barra degli indirizzi e inserendo le credenziali d'accesso. Portiamoci nel menu Avanzate, premiamo su Configurazione manuale porte, premiamo su Aggiungi nuovo port mapping ed inseriamo tutti i dati richiesti per l'inoltro (indirizzo IP e numero di porta).
  • modem TIM: Dopo aver effettuato l'accesso, basterà portarsi nel menu Controllo Accesso -> Port Mapping e premere su Crea nuova regola per aprire la porta o le porte desiderate.
  • Aprire le porte su modem WindTre: Nella schermata di configurazione premiamo sul pulsante in alto a destra, portiamoci nel menu Network, selezioniamo la voce NAT, premiamo su Port Triggering e successivamente su Aggiungi Nuova Regola, così da poter aprire le porte verso un preciso indirizzo IP.

Sicurezza: DMZ e UPnP

Aprire porte equivale a creare fori nelle difese della rete. È imperativo non esporre mai servizi vulnerabili come SMB (porta 445) o Desktop Remoto (3389) direttamente su internet senza una VPN. L'uso della DMZ (Demilitarized Zone), che apre tutte le porte verso un singolo dispositivo, va evitato sui PC. Può essere tollerato su console chiuse come PS5 o Xbox se si riscontrano problemi di connessione insormontabili, ma espone la macchina a ogni tipo di scansione esterna.

Anche l'UPnP (Universal Plug and Play) merita attenzione: permette alle app di aprire le porte autonomamente. Sebbene comodo, un malware potrebbe sfruttarlo per comunicare con l'esterno. Disabilitare l'UPnP e gestire manualmente le regole mantenendo la rotta di Navigaweb verso una configurazione controllata è la scelta più sicura per chi tiene alla privacy della propria rete.

Altri dettagli importanti

  • Windows Firewall: Spesso trascurato, il firewall del sistema operativo può bloccare le connessioni anche se il router è aperto. È necessario creare una "Regola in entrata" anche nelle impostazioni di Sicurezza di Windows.
  • Loopback NAT (Hairpinning): Molti router non permettono di raggiungere il proprio IP pubblico dall'interno della rete stessa. Per testare se un server funziona, è fondamentale usare una connessione esterna, come l'hotspot dello smartphone in 4G.
  • Strumenti di verifica: Per controllare l'effettiva apertura, utilizzare CanYouSeeMe. Il test darà esito positivo solo se il programma destinatario (gioco o server) è avviato e in ascolto in quel preciso momento.
  • Port Triggering: A differenza del forwarding statico, questo apre la porta in entrata solo quando viene rilevato traffico in uscita su una porta specifica. Utile per applicazioni che non richiedono un server sempre attivo.

Per chi vuole approfondire la configurazione dei modem può leggere le nostre guide su come configurare il modem per TIM, Fastweb, Vodafone, Wind e su come collegare al modem un router nuovo senza cambiare rete.





Posta un commento


0%