Servizi di rete (DHCP, DNS…)Avanzato
UPnP e NAT-PMP su RouterOS: funzionalità e rischi di sicurezza
Capire come funzionano UPnP e NAT-PMP su RouterOS, quando usarli, e perché in un contesto WISP o professionale rappresentano un rischio di sicurezza da valutare attentamente.
UPnP (Universal Plug and Play) e NAT-PMP (NAT Port Mapping Protocol) sono protocolli che permettono alle applicazioni (giochi, videochiamate, software P2P) di aprire automaticamente le porte sul NAT del router, senza intervento manuale. RouterOS li supporta tramite /ip/upnp.
Come funzionano UPnP e NAT-PMP
- Un'applicazione sul PC (es. Xbox, PlayStation, uTorrent) invia una richiesta UPnP al router.
- Il router apre automaticamente una regola NAT/firewall per quella porta.
- La porta viene chiusa quando l'applicazione la rilascia (o al riavvio del router).
- NAT-PMP è una versione semplificata/sicura sviluppata da Apple (usata da AirDrop, FaceTime, ecc.).
/ip/upnp — configurazione UPnP su RouterOS
# Configurazione base UPnP /ip/upnp set enabled=yes allow-disable-external-interface=no # Definire le interfacce (interna LAN, esterna WAN) /ip/upnp/interfaces add interface=ether1 type=external /ip/upnp/interfaces add interface=bridge-lan type=internal # Verifica /ip/upnp print /ip/upnp/interfaces print # DISABILITARE UPnP (raccomandato in ambienti professionali) /ip/upnp set enabled=no
Parametri principali
enabled=yes/no— abilita/disabilita il servizio UPnP globalmente.allow-disable-external-interface=no— impedisce ai client di disabilitare l'interfaccia esterna tramite UPnP (tenerlo sunosempre).show-dummy-rule=yes— mostra una regola placeholder in NAT anche senza mapping attivi.type=external— interfaccia rivolta verso Internet (WAN).type=internal— interfaccia rivolta verso i client (LAN).
AVVISO DI SICUREZZA CRITICO: UPnP/NAT-PMP consentono a QUALSIASI applicazione sulla LAN di aprire porte sul firewall senza autenticazione. Malware, botnet e applicazioni compromesse sfruttano UPnP per esporsi su Internet aggirando completamente il firewall. RACCOMANDAZIONE: su reti WISP, reti aziendali e router esposti su Internet, mantenere UPnP disabilitato. Abilitarlo solo su reti casalinghe se strettamente necessario, e mai con l'interfaccia WAN configurata come
internal.Alternativa sicura: port forwarding manuale
Invece di UPnP, usa regole NAT statiche e controllate. Apri solo le porte strettamente necessarie, per IP sorgente specifici ove possibile, e documenta ogni regola con un comment.
Port forwarding manuale sicuro (alternativa a UPnP)
# Apertura porta controllata: TCP 25565 verso server Minecraft a 192.168.88.50 /ip/firewall/nat add \ chain=dstnat \ in-interface=ether1 \ protocol=tcp \ dst-port=25565 \ action=dst-nat \ to-addresses=192.168.88.50 \ to-ports=25565 \ comment="Minecraft server - aperto manualmente [data] [responsabile]"
WISP — CGNAT: se i clienti sono dietro il tuo CGNAT, l'UPnP sul loro router di casa apre porte solo verso l'IP CGNAT privato, non verso Internet: non funziona comunque. Le richieste di "apertura porte" dei clienti dietro CGNAT vanno gestite con IPv6 (dove ogni host è raggiungibile, dietro firewall) o con un IP pubblico dedicato a pagamento.
UPnPNAT-PMPport mappingapertura porte automaticasicurezza reteRouterOSip upnpfirewall bypassWISPport forwarding
Continua con
Configura senza fatica con l'AI
In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.
Prova WispOS