Navigaweb

Aprire porte di rete su PC Windows: Guida al Port Forwarding

Aggiornato il: Scritto Da: - @pomhey
Riassumi con:
Quando serve e come fare l’inoltro delle porte su Windows e su router per rendere accessibile un server o un gioco su Internet
aprire porte Windows

Quando si installa un software, un server di gioco o un sistema di videosorveglianza in casa, spesso si scopre che i dati non riescono ad arrivare correttamente dall'esterno verso il dispositivo desiderato. Il motivo di questo blocco è un meccanismo di sicurezza fondamentale, ma a volte frustrante, che riguarda l'architettura di ogni rete domestica o aziendale.

Per impostazione predefinita, il vostro router, il guardiano che connette la rete locale (LAN) a Internet (WAN), è configurato per bloccare tutte le richieste di connessione che arrivano dall'esterno (il web) verso i dispositivi interni (i vostri PC, console, NAS). Questo sistema di protezione, chiamato Network Address Translation (NAT), è ciò che ci salva dalla maggior parte degli attacchi indesiderati. Tuttavia, se stiamo ospitando un server di Minecraft, un media center come Plex, o stiamo usando servizi particolari che richiedono un "contatto" diretto, è necessario istruire il router a lasciar passare specifici tipi di dati.

Questa procedura si chiama Port Forwarding, ovvero l'inoltro delle porte, e consiste nel creare un "tunnel" sicuro che bypassa il blocco NAT per una determinata porta di comunicazione, dirigendo il traffico in entrata verso un indirizzo IP e un dispositivo specifici sulla rete locale.

Abbiamo già parlato di questo nell'articolo su come configurare il port forwarding su un router spiegando anche cosa significa "porta" quando si parla di computer.
Detto in termini super semplici, in ambito di reti informatiche, la porta è un numero che rappresenta l'indirizzo di un programma specifico. Un po' come avviene con gli indirizzi di casa, se un computer deve inviare dati ad un altro computer, deve sapere qual è il suo indirizzo che, in una rete, si chiama indirizzo IP. Inoltre, se quel pacchetto di dati deve essere inviato ad un determinato programma, chiede anche di sapere la porta di ascolto di quel programma. La porta viene identificata con un semplice numero (ad esempio la porta del browser per caricare i dati dei siti web http è sempre stata la numero 80 per convenzione).

LEGGI ANCHE: Come aprire le porte del Router

L'importanza dell'IP Statico Interno

Prima di iniziare qualsiasi configurazione, è cruciale assegnare un indirizzo IP statico (o un IP riservato tramite DHCP, che è preferibile) al computer o al dispositivo su cui si desidera aprire le porte.

Se l'indirizzo IP del PC cambia nel tempo, come avviene normalmente (è un IP dinamico), la regola di port forwarding impostata sul router diventerà inutile perché punterà a un indirizzo sbagliato.

Per assegnare un IP statico, si opera:

  • Sul computer: Configurando manualmente le proprietà della scheda di rete in Windows (un'opzione sconsigliata perché crea problemi se si viaggia con il PC).
  • Sul router: Accedendo alle impostazioni del router (sezione DHCP o LAN) e associando l'indirizzo MAC del dispositivo desiderato a un indirizzo IP interno fisso (es. 192.168.1.50). Questa è la soluzione migliore e più duratura.

1. Configurazione del Router (Il vero Port Forwarding)

La prima barriera da superare è il router, che esegue l'inoltro dei dati da Internet al dispositivo locale.

Accedere al Pannello di Controllo

Per accedere al router è necessario aprire il browser e digitare l'indirizzo IP del Gateway Predefinito. Spesso è 192.168.1.1 o 192.168.0.1, ma varia in base al modello e all'operatore. Il dato si trova facilmente in Windows aprendo il Prompt dei comandi e digitando ipconfig.

Dovrete inserire le credenziali di accesso (spesso "admin/admin" o "admin/password" se non sono state cambiate), un rischio che sconsigliamo di correre: la prima cosa da fare è cambiare la password predefinita del router per non lasciare una "porta di servizio" aperta a malintenzionati.

Creare la Regola di Inoltro

Una volta nel pannello, la sezione di configurazione si trova di solito sotto voci come:

  • Port Forwarding
  • Virtual Server
  • NAT o Gaming

I passaggi per aggiungere una nuova regola sono i seguenti:

  • Nome Servizio: Assegnare un nome che ricordi lo scopo (es. Server Minecraft o Accesso Remoto).
  • Porta Esterna (WAN): È la porta su cui il router "ascolterà" i dati in arrivo da Internet. Può essere la stessa della porta interna o diversa, per mascherare il servizio reale (es. usa la 442 per inoltrare alla 3389).
  • Porta Interna (LAN): È la porta effettivamente utilizzata dal software sul computer locale (es. la 25565 per Minecraft).
  • Protocollo: Selezionare il tipo di traffico. Le opzioni sono TCP, UDP o Entrambi. Consultate la documentazione del software per sapere quale protocollo richiede.
  • Indirizzo IP Locale: Inserire l'IP statico interno che avete assegnato al PC o al dispositivo di destinazione (es. 192.168.1.50).

Se l'operazione non funziona, assicuratevi che il protocollo e il numero di porta siano esattamente quelli richiesti dal software. Una piccola differenza può bloccare tutto il traffico.

Port Triggering: una soluzione per gli indecisi

In alternativa al Port Forwarding, alcuni router offrono il Port Triggering. Mentre l'inoltro delle porte mantiene la porta sempre aperta verso un IP fisso, il Port Triggering apre la porta solo quando il dispositivo locale avvia una comunicazione in uscita su una porta specifica (il "trigger"). Quando la sessione di comunicazione termina, la porta esterna viene chiusa. È un meccanismo più sicuro, ma è utile solo per applicazioni che iniziano la comunicazione dalla rete interna.

2. Configurazione del Firewall di Windows

Dopo aver configurato il router, bisogna assicurarsi che il Firewall di Windows (su Windows 11 e 10) non blocchi il traffico una volta che ha superato il router e raggiunto il PC.

Il firewall agisce come un secondo livello di sicurezza, controllando il traffico che entra nel sistema operativo. Di solito, quando si installa un nuovo programma che richiede una porta aperta, Windows chiede l'autorizzazione. Se questo non accade o la connessione viene bloccata, è necessario creare una regola manuale per il traffico in entrata.

Creare una Regola In Entrata (Inbound Rule)

  1. Aprire Windows Defender Firewall con sicurezza avanzata (basta cercarlo nel menu Start).
  2. Nel pannello di sinistra, selezionare Regole in ingresso.
  3. Nel pannello di destra, fare clic su Nuova regola....
  4. Scegliere Porta come tipo di regola e fare clic su Avanti.
  5. Selezionare il protocollo (TCP o UDP) e l'opzione Porte locali specifiche, quindi digitare il numero della porta interna (es. 25565).
  6. Nella schermata successiva, selezionare l'opzione Consenti la connessione.
  7. Mantenere selezionati tutti i profili di rete (Dominio, Privato, Pubblico), a meno che non si sappia esattamente cosa si sta facendo, e fare clic su Avanti.
  8. Assegnare un nome chiaro alla regola (es. Porta 25565 Inbound) e fare clic su Fine.

In questo modo, il PC è istruito ad accettare il traffico in arrivo su quella porta specifica.

La stessa procedura si può anche usare per bloccare le connessioni in entrata verso un determinato programma o app, come spiegato nella guida per bloccare l'accesso internet per un programma col Firewall Windows.

NOTA: C'è anche un altro modo, più semplice, per aprire porte sul firewall di Windows. Quando si apre la schermata di configurazione di Windows defender Firewall, invece di premere su Impostazioni avanzate, cliccare il link Consenti app o funzionalità attraverso Windows Defender Firewall. Nella schermata che segue basterà premere la crocetta accanto al nome del programma per consentire alle app di comunicare verso l'esterno.

Port Redirection Nativa in Windows (netsh)

Per l'inoltro di porte all'interno del sistema Windows, non è necessario toccare il firewall del router, ma è un'operazione più tecnica. Windows possiede uno strumento chiamato netsh che permette di reindirizzare il traffico da una porta locale a un'altra, o a un altro IP locale sulla stessa rete (utile in contesti di testing o macchine virtuali).

Per reindirizzare il traffico TCP in arrivo sulla porta 8080 del PC alla porta 80, si utilizza il seguente comando in PowerShell come amministratore:

netsh interface portproxy add v4tov4 listenport=8080 listenaddress=127.0.0.1 connectport=80 connectaddress=127.0.0.1

Il vantaggio è che gestisce il traffico a livello di sistema operativo, ma è più complesso e, per l'accesso da Internet, il port forwarding del router rimane comunque necessario per indirizzare il traffico esterno verso l'indirizzo IP del PC su cui è attivo netsh.

Aspetti di Sicurezza: Cosa evitare e suggerimenti

Configurare il Port Forwarding non è un’azione senza rischi. Si sta riducendo una barriera di sicurezza fondamentale (il NAT) per un dispositivo specifico. L'esposizione di un servizio direttamente a Internet richiede cautela e responsabilità.

Evitare l'UPnP (Universal Plug and Play)

Molti software chiedono di attivare l'UPnP sul router per aprire le porte in modo automatico. Sebbene possa sembrare comodo, l'UPnP è una funzione che consigliamo di disattivare. Permette a qualsiasi dispositivo nella rete locale di aprire e chiudere porte sul router senza la vostra autorizzazione o conoscenza, trasformandosi in un potenziale buco di sicurezza se uno dei dispositivi viene compromesso. Il controllo manuale è sempre preferibile.

Non usare la DMZ

La DMZ (Demilitarized Zone) è un'impostazione estrema che apre tutte le porte sul router verso un unico indirizzo IP interno. In pratica, disabilita il firewall del router per quel PC, esponendolo completamente a Internet. Questa impostazione è un enorme rischio per la sicurezza e va usata solo in casi molto specifici da utenti esperti, e mai per un computer su cui si gestiscono dati personali sensibili.

Proteggere i Servizi Esposti

Se aprite una porta per un server, è vitale:

  • Usare Password Forti: Qualsiasi servizio esposto (come l'accesso remoto) deve avere credenziali d'accesso complesse.
  • Mantenere il Software Aggiornato: Le vulnerabilità di sicurezza vengono scoperte e corrette con gli aggiornamenti. Un software non aggiornato a cui è stata aperta una porta è un bersaglio facile.
  • Limitare l'Accesso per IP Esterno: Molti router consentono di limitare l'inoltro delle porte a specifiche sorgenti (indirizzi IP pubblici esterni). Se l'accesso deve avvenire solo da un luogo conosciuto (es. l'ufficio), è meglio restringere l'accesso in questo modo.

Altro da sapere sul Port Forwarding

  • "Ho due router, come faccio? (Doppio NAT)": Quando si hanno due router in cascata (ad esempio, quello dell'ISP e un proprio router Wi-Fi aggiuntivo), l'operazione diventa più complessa. Il Port Forwarding deve essere configurato su entrambi i router: il primo deve inoltrare il traffico dal suo IP pubblico all'IP privato del secondo router, e il secondo router deve inoltrare il traffico ricevuto all'IP finale del dispositivo. L'opzione migliore è configurare il primo router in modalità Bridge o Passthrough se possibile.
  • "Il mio ISP blocca le porte": Alcuni operatori (soprattutto su connessioni mobili o FWA) implementano il Carrier-Grade NAT (CGNAT), impedendo agli utenti di avere un proprio IP pubblico univoco e bloccando di fatto il Port Forwarding. In questi casi, l'unica soluzione è richiedere al provider un IP pubblico dedicato (spesso un servizio a pagamento) o usare servizi VPN che supportano l'inoltro delle porte.
  • "Aprire le porte rende la connessione più veloce?": No, l'apertura delle porte non aumenta la velocità della vostra connessione a Internet. La velocità è determinata dal contratto e dall'infrastruttura. Il Port Forwarding migliora solo l'affidabilità e la stabilità delle connessioni in entrata per i servizi che lo richiedono, evitando che il router le blocchi.

LEGGI ANCHE: Come bloccare le porte di rete su PC Windows





Posta un commento