1. ¿Por qué exponer un servidor desde casa?

Casos de uso típicos:

• Servidor web: hostear WordPress, un portafolio, una app pequeña o una API desde casa.
• Servidor de juegos: Minecraft, Counter-Strike, ARK y otros servidores dedicados.
• Servidor de archivos: Nextcloud u otras herramientas para sincronizar y compartir archivos.
• Home lab: entornos de prueba, CI runners, herramientas internas pequeñas.

2. Conceptos clave que debes entender

2.1 IP pública vs IP privada

IP privada: direcciones dentro de tu red doméstica. Ejemplos: 192.168.0.10, 192.168.1.50, 10.0.0.5. Solo son accesibles desde tu LAN.

IP pública: dirección que tu ISP asigna a tu router. El resto de Internet solo ve esta IP. Tus dispositivos internos “se esconden” detrás de ella usando NAT.

Cuando expones un servicio, mapeas un puerto en tu IP pública hacia un dispositivo con IP privada dentro de tu red.

2.2 Puertos

Un puerto es una “puerta” lógica donde un servicio escucha. Ejemplos:

• 80: HTTP (web sin TLS).
• 443: HTTPS (web con TLS).
• 25565: puerto por defecto de un servidor de Minecraft.
• 22: SSH.

El port forwarding le dice al router: “cuando llegue tráfico al puerto X de mi IP pública, envíalo al puerto Y de este dispositivo dentro de la LAN”.

2.3 DNS

DNS traduce un nombre como mi-servidor.ejemplo.com a tu IP pública. Los humanos recuerdan nombres; las máquinas enrutan usando direcciones IP.

Vas a usar:

• Un nombre de DNS dinámico (ej. miservidor.duckdns.org).
• O tu propio dominio con un registro A apuntando a tu IP pública.

3. Paso a paso: de tu LAN a Internet

Paso 1 — Configurar el port forwarding en el router

Objetivo: abrir una puerta controlada en tu router para que el tráfico externo llegue a tu servidor interno.

Paso 2 — Asignar un dominio a tu IP pública

Problema: tu ISP normalmente te da una IP pública dinámica. Puede cambiar en cualquier momento. Además, compartir una IP “pelada” es incómodo y poco profesional.

Opción A — DNS dinámico gratuito

• Regístrate en un servicio como DuckDNS o No-IP.
• Elige un nombre como miservidor.duckdns.org.
• Instala su cliente en tu servidor o router para que actualice el registro cuando cambie tu IP.

Resultado: la gente puede entrar a tu servidor casero con https://miservidor.duckdns.org en vez de memorizar la IP numérica.

Opción B — Dominio propio

• Compra un dominio barato en un registrador (Namecheap, Cloudflare, etc.).
• En el panel DNS, crea un registro A:
  host: casa → tipo: A → valor: <tu IP pública>
• Puedes combinar esto con un script de DNS dinámico para actualizar el registro cuando cambie tu IP.

Ejemplo: creas casa.midominio.com apuntando a tu IP de casa. Tus amigos se conectan a tu servidor de juegos en minecraft.midominio.com:25565, por ejemplo.

Paso 3 — Configuración básica del servicio

Desde aquí los pasos dependen del servicio. A alto nivel:

• Web (Apache/Nginx): instala el servidor web, sube tu sitio o app, y comprueba que responde bien en la LAN en http://192.168.1.50:80.
• Servidor de juegos: instala el software oficial del servidor, configura el puerto (para Minecraft suele ser 25565) y verifica que otros equipos de tu LAN puedan conectarse.
• Servidor de archivos (Nextcloud, etc.): instala, realiza la configuración inicial, crea usuarios y prueba desde dentro de la LAN.

Solo expón el servicio a Internet cuando funcione correctamente dentro de tu red.

4. Seguridad profunda: el corazón de la guía

En este punto tu servidor puede ser visible desde fuera. Debes asumir: “alguien va a intentar atacarlo”.

4.1 Fortalece el servidor

• Actualiza todo: sistema operativo, servidor web, servidor de juego y plugins. Los parches de seguridad cierran vulnerabilidades conocidas.
• Firewall: permite solo los puertos necesarios y deniega el resto. En Linux con UFW:

  sudo ufw default deny incoming
  sudo ufw default allow outgoing
  sudo ufw allow 80/tcp     # HTTP
  sudo ufw allow 443/tcp    # HTTPS
  sudo ufw allow 25565/tcp  # Ejemplo: Minecraft
  sudo ufw enable

• Cuentas y contraseñas:
  • Deshabilita el login directo de root por SSH.
  • Usa claves SSH en lugar de contraseñas cuando sea posible.
  • Crea usuarios normales con permisos limitados.
  • Usa contraseñas largas y únicas para cada cuenta.

4.2 Protege los servicios

• Fail2Ban (imprescindible): monitoriza logs y bloquea automáticamente IPs que generan demasiados intentos de login fallidos.

  # Ejemplo (Debian/Ubuntu)
  sudo apt install fail2ban
  # luego ajusta /etc/fail2ban/jail.local para sshd, nginx, etc.

  Esto frena la mayoría de los ataques automatizados.
• Cambiar puertos por defecto:
  • Mueve SSH del puerto 22 a algo como 2222 u otro puerto libre.
  • Esto no “asegura” SSH por sí solo, pero reduce mucho el ruido de bots en tus logs.
• Usar HTTPS:
  • Para webs y paneles, usa certificados TLS gratuitos de Let’s Encrypt.
  • Con herramientas como Certbot puedes automatizar emisión y renovación.

4.3 Protege la red (avanzado)

• Segmentación de red:
  • Si tu router lo permite, pon el servidor expuesto en una DMZ o en una VLAN aislada.
  • Si el servidor se ve comprometido, limitas el movimiento lateral hacia tus otros dispositivos (PCs, móviles, TV, IoT).
• Limitar quién accede al servicio: en algunos casos puedes restringir acceso a ciertos rangos de IP o países desde el firewall o el reverse proxy.

5. Conclusión y próximos pasos

Exponer un servidor casero de forma segura se basa en tres pilares:

1. Port forwarding: abrir solo lo necesario, hacia la IP interna correcta.
2. Dominio / DNS: usar un nombre recordable que siga los cambios de tu IP.
3. Seguridad profunda: actualizaciones, firewall, hardening, Fail2Ban, HTTPS y segmentación.

A partir de aquí puedes seguir tutoriales especializados:

• Cómo desplegar y asegurar un servidor público de Minecraft.
• Cómo hostear un sitio WordPress en tu servidor casero.
• Cómo montar un servidor de archivos seguro (Nextcloud, etc.).

Elige qué servicio quieres exponer primero y aplica siempre el mismo esquema: forwarding → DNS → endurecimiento.