IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Networking

NAT a fondo: port forwarding, DMZ y las VIP de Fortigate

14/07/2026 4 min de lectura Rubén Espinoza

En la primera parte vimos que el NAT deja salir a toda tu oficina detrás de una sola IP pública, pero con un efecto colateral: rompe la conectividad entrante. Desde internet, nadie puede tocar directamente un equipo de tu red privada porque, para el mundo, no existe. Entonces, ¿cómo publicas un servidor web, una cámara o un servidor de correo que debe ser accesible desde afuera? Hay tres respuestas, y van de la más burda a la más profesional.

Port forwarding: abrir una ventana puntual

El reenvío de puertos (port forwarding) es la forma más directa: le dices al router "todo lo que llegue a mi IP pública en el puerto 443, mándalo al equipo interno 192.168.1.50 en su puerto 443". Funciona, y para casos simples resuelve. Pero cada regla de reenvío es una ventana abierta en tu perímetro: un servicio interno queda expuesto a todo internet, con lo bueno y lo malo que eso trae. Si el servicio detrás tiene una vulnerabilidad, acabas de darle al mundo la puerta.

DMZ: la palabra más malentendida de las redes

Aquí hay que separar dos cosas que se llaman igual y no lo son. La DMZ de verdad (zona desmilitarizada) es un segmento de red aislado, separado por firewall tanto de internet como de tu red interna, donde colocas los servidores que deben ser públicos (web, correo). ¿La idea? Si comprometen un servidor público, el atacante queda atrapado en la DMZ y no salta directo a tu red interna. Es un principio de segmentación sano y deliberado.

El problema es el otro "DMZ": la opción de los routers caseros llamada "DMZ host", que hace algo casi opuesto —reenvía todo el tráfico entrante no solicitado a un único equipo interno—. Eso no es una zona aislada; es exponer una máquina entera, sin filtro, a internet. Confundir ambos es un error de seguridad clásico: uno protege, el otro desnuda.

Las VIP de Fortigate: hacerlo como se debe

En un entorno serio, publicar un servicio no se hace con un reenvío crudo, sino con una IP virtual (VIP) en un firewall empresarial como Fortinet. Una VIP mapea "IP pública + puerto" a "IP interna + puerto", igual que el port forwarding en concepto, pero con todo lo que un firewall de verdad añade encima: políticas granulares (quién puede llegar, desde dónde), inspección del tráfico (IPS, antivirus, filtrado sobre esa conexión), traducción de puertos, y registro de todo lo que entra. Es la diferencia entre abrir un hueco y abrir una puerta con guardia, cámara y lista de acceso. La VIP hace visible el servicio; la política de firewall decide, tráfico por tráfico, qué se permite.

El principio que ordena todo

La regla de fondo es la misma en los tres casos: exponer lo mínimo, con el mayor control posible. Un port forward suelto expone mucho y controla poco; una VIP con políticas expone lo justo y controla todo; y cuando el acceso es solo para tu gente —no para el público—, muchas veces la respuesta correcta no es publicar nada, sino una VPN. Publicar hacia internet siempre es una decisión de seguridad, no un trámite de conectividad.

La idea que se queda

Publicar un servicio detrás de NAT va del port forwarding crudo (rápido y expuesto) a la DMZ bien entendida (aislar lo público) y a la VIP de firewall (exponer con control total). Elegir bien es la diferencia entre un servicio accesible y un incidente esperando a ocurrir. Es parte de cómo diseñamos seguridad de red, y una pieza clave de los cimientos de red, parte II.

#nat #port forwarding #dmz #fortinet #vip #firewall

Preguntas frecuentes

Si el NAT bloquea la entrada, ¿cómo publico un servidor hacia internet?

Con tres opciones, de la más burda a la más profesional. El port forwarding mapea un puerto de tu IP pública a un equipo interno; funciona pero abre una ventana expuesta. La DMZ real coloca los servidores públicos en un segmento aislado por firewall. Y la forma profesional es una IP virtual (VIP) en un firewall empresarial, que mapea el servicio con políticas granulares e inspección del tráfico. El principio común: exponer lo mínimo con el mayor control.

¿Qué es una DMZ y por qué se malinterpreta?

La DMZ de verdad es un segmento de red aislado, separado por firewall tanto de internet como de tu red interna, donde colocas los servidores que deben ser públicos, de modo que si comprometen uno, el atacante queda atrapado ahí y no salta a tu red interna. Se confunde con el "DMZ host" de los routers caseros, que hace casi lo opuesto: reenvía todo el tráfico entrante a un único equipo, exponiéndolo entero sin filtro. Uno protege, el otro desnuda.

¿Qué es una VIP en un Fortigate y en qué mejora al port forwarding?

Una IP virtual (VIP) mapea una IP pública y puerto a una IP interna y puerto, igual en concepto que el port forwarding, pero dentro de un firewall empresarial Fortinet que añade políticas granulares (quién puede llegar y desde dónde), inspección del tráfico (IPS, antivirus, filtrado) y registro de todo lo que entra. Es la diferencia entre abrir un hueco y abrir una puerta con guardia, cámara y lista de acceso: la VIP hace visible el servicio y la política decide, tráfico por tráfico, qué se permite.

Los nombres y logotipos de marcas mencionados en este artículo son propiedad de sus respectivos titulares. Su mención tiene fines informativos y no implica patrocinio ni afiliación más allá de las relaciones de partner que IT Experts de México declara explícitamente.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Networking

IAX, Asterisk y la leyenda de Digium
Troncales SIP a fondo: DIDs, concurrencias, inbound y outbound
Códecs, RTP, jitter y por qué la voz va por UDP