En la primera parte vimos que el NAT deja salir a toda tu oficina detrás de una sola IP pública, pero con un efecto colateral: rompe la conectividad entrante. Desde internet, nadie puede tocar directamente un equipo de tu red privada porque, para el mundo, no existe. Entonces, ¿cómo publicas un servidor web, una cámara o un servidor de correo que sí debe ser accesible desde afuera? Hay tres respuestas, y van de la más burda a la más profesional.
Port forwarding: abrir una ventana puntual
El reenvío de puertos (port forwarding) es la forma más directa: le dices al router "todo lo que llegue a mi IP pública en el puerto 443, mándalo al equipo interno 192.168.1.50 en su puerto 443". Funciona, y para casos simples resuelve. Pero cada regla de reenvío es una ventana abierta en tu perímetro: un servicio interno queda expuesto a todo internet, con lo bueno y lo malo que eso trae. Si el servicio detrás tiene una vulnerabilidad, acabas de darle al mundo la puerta.
DMZ: la palabra más malentendida de las redes
Aquí hay que separar dos cosas que se llaman igual y no lo son. La DMZ de verdad (zona desmilitarizada) es un segmento de red aislado, separado por firewall tanto de internet como de tu red interna, donde colocas los servidores que deben ser públicos (web, correo). ¿La idea? Si comprometen un servidor público, el atacante queda atrapado en la DMZ y no salta directo a tu red interna. Es un principio de segmentación sano y deliberado.
El problema es el otro "DMZ": la opción de los routers caseros llamada "DMZ host", que hace algo casi opuesto —reenvía todo el tráfico entrante no solicitado a un único equipo interno—. Eso no es una zona aislada; es exponer una máquina entera, sin filtro, a internet. Confundir ambos es un error de seguridad clásico: uno protege, el otro desnuda.
Las VIP de Fortigate: hacerlo como se debe
En un entorno serio, publicar un servicio no se hace con un reenvío crudo, sino con una IP virtual (VIP) en un firewall empresarial como Fortinet. Una VIP mapea "IP pública + puerto" a "IP interna + puerto", igual que el port forwarding en concepto, pero con todo lo que un firewall de verdad añade encima: políticas granulares (quién puede llegar, desde dónde), inspección del tráfico (IPS, antivirus, filtrado sobre esa conexión), traducción de puertos, y registro de todo lo que entra. Es la diferencia entre abrir un hueco y abrir una puerta con guardia, cámara y lista de acceso. La VIP hace visible el servicio; la política de firewall decide, tráfico por tráfico, qué se permite.
El principio que ordena todo
La regla de fondo es la misma en los tres casos: exponer lo mínimo, con el mayor control posible. Un port forward suelto expone mucho y controla poco; una VIP con políticas expone lo justo y controla todo; y cuando el acceso es solo para tu gente —no para el público—, muchas veces la respuesta correcta no es publicar nada, sino una VPN. Publicar hacia internet siempre es una decisión de seguridad, no un trámite de conectividad.
La idea que se queda
Publicar un servicio detrás de NAT va del port forwarding crudo (rápido y expuesto) a la DMZ bien entendida (aislar lo público) y a la VIP de firewall (exponer con control total). Elegir bien es la diferencia entre un servicio accesible y un incidente esperando a ocurrir. Es parte de cómo diseñamos seguridad de red, y una pieza clave de los cimientos de red, parte II.