WispOSWispOS
Guida MikroTik
Servizi di rete (DHCP, DNS…)Avanzato

UPnP e NAT-PMP su RouterOS: funzionalità e rischi di sicurezza

Capire come funzionano UPnP e NAT-PMP su RouterOS, quando usarli, e perché in un contesto WISP o professionale rappresentano un rischio di sicurezza da valutare attentamente.

UPnP (Universal Plug and Play) e NAT-PMP (NAT Port Mapping Protocol) sono protocolli che permettono alle applicazioni (giochi, videochiamate, software P2P) di aprire automaticamente le porte sul NAT del router, senza intervento manuale. RouterOS li supporta tramite /ip/upnp.

Come funzionano UPnP e NAT-PMP

  • Un'applicazione sul PC (es. Xbox, PlayStation, uTorrent) invia una richiesta UPnP al router.
  • Il router apre automaticamente una regola NAT/firewall per quella porta.
  • La porta viene chiusa quando l'applicazione la rilascia (o alla riavvio del router).
  • NAT-PMP è una versione semplificata/sicura sviluppata da Apple (usata da AirDrop, FaceTime, ecc.).
/ip/upnp — configurazione UPnP su RouterOS
# Configurazione base UPnP
/ip/upnp set enabled=yes allow-disable-external-interface=no

# Definire le interfacce (interna LAN, esterna WAN)
/ip/upnp/interfaces add interface=ether1 type=external
/ip/upnp/interfaces add interface=bridge-lan type=internal

# Verifica
/ip/upnp print
/ip/upnp/interfaces print

# Visualizzare i mapping attivi creati dai client
/ip/upnp/mappings/print

# DISABILITARE UPnP (raccomandato in ambienti professionali)
/ip/upnp set enabled=no

Parametri principali

  • enabled=yes/no — abilita/disabilita il servizio UPnP globalmente.
  • allow-disable-external-interface=no — impedisce ai client di disabilitare l'interfaccia esterna tramite UPnP (tenerlo su no sempre).
  • show-dummy-rule=yes — mostra una regola placeholder in NAT anche senza mapping attivi.
  • type=external — interfaccia rivolta verso Internet (WAN).
  • type=internal — interfaccia rivolta verso i client (LAN).
AVVISO DI SICUREZZA CRITICO: UPnP/NAT-PMP consentono a QUALSIASI applicazione sulla LAN di aprire porte sul firewall senza autenticazione. Malware, botnet e applicazioni compromesse sfruttano UPnP per esporsi su Internet aggirando completamente il firewall. Nel 2008 milioni di router con UPnP esposto su WAN sono stati usati per attacchi massivi. RACCOMANDAZIONE: su reti WISP, reti aziendali e router esposti su Internet, mantenere UPnP disabilitato. Abilitarlo solo su reti casalinghe se strettamente necessario, mai sull'interfaccia WAN.

Alternativa sicura: port forwarding manuale

Invece di UPnP, usa regole NAT statiche e controllate. Apri solo le porte strettamente necessarie, per IP sorgente specifici ove possibile, e documenta ogni regola.

Port forwarding manuale sicuro (alternativa a UPnP)
# Apertura porta controllata: TCP 25565 verso server Minecraft a 192.168.88.50
/ip/firewall/nat add \
  chain=dstnat \
  in-interface=ether1 \
  protocol=tcp \
  dst-port=25565 \
  action=dst-nat \
  to-addresses=192.168.88.50 \
  to-ports=25565 \
  comment="Minecraft server - aperto manualmente [data] [responsabile]"
UPnPNAT-PMPport mappingapertura porte automaticasicurezza reteRouterOSip upnpfirewall bypassWISP

Continua con

Indirizzi IP e subnetting pratico su RouterOSDHCP Server su RouterOS: pool, reti e lease staticiDHCP Client su RouterOS: ottenere l'IP dalla WANDHCP Relay: server DHCP centralizzato per più subnet

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS