Port forwarding e NAS: come accedere ai tuoi file da remoto

Hai un NAS in casa con terabyte di dati e vorresti accedervi dall'ufficio o in viaggio. La soluzione più diretta è il port forwarding: dici al router di dirottare il traffico su una porta specifica verso l'IP locale del NAS. È semplice in teoria, meno scontato nella pratica.

Come funziona il port forwarding

Il router fa NAT (Network Address Translation): traduce l'IP pubblico della tua linea in indirizzi IP privati della rete locale. Di default, tutto il traffico in ingresso dall'esterno viene scartato — il router non sa a quale dispositivo consegnarlo.

Con il port forwarding crei una regola esplicita:

Traffico in arrivo su IP_PUBBLICO:PORTA → forward a IP_NAS:PORTA_LOCALE

Esempio: connessione HTTPS (porta 443) dall'esterno → viene inoltrata al NAS locale su 192.168.1.100:443.

Prerequisiti fondamentali

Prima di iniziare, verifica questi punti:

• IP pubblico statico o DDNS attivo: senza un indirizzo stabile non puoi raggiungere il router da remoto. Se hai IP dinamico, serve DDNS (vedi sotto)
• IP locale fisso al NAS: assegna un IP statico al NAS dal router (DHCP reservation) o configuralo direttamente sulla scheda di rete del NAS. Altrimenti dopo un reboot l'IP cambia e la regola di forwarding non funziona più
• IP pubblico reale: se sei dietro CGNAT (comune su connessioni mobili o alcuni ADSL), non hai un IP pubblico direttamente assegnato. In quel caso il port forwarding non funziona — serve VPN o soluzione cloud

Come verificare se sei dietro CGNAT

Confronta l'IP che vedi su un sito come ifconfig.me con l'IP WAN mostrato nel pannello del router. Se sono diversi, sei dietro CGNAT e il forwarding non ti sarà utile. Con fibra FTTH su IP pubblico dedicato questo problema non si pone.

Configurazione pratica del port forwarding

La procedura cambia per ogni router, ma i campi sono sempre gli stessi:

Porta esterna diversa da quella interna: è una buona pratica di sicurezza usare una porta alta e non standard (es. 8443 invece di 443) per ridurre il traffico automatico di scanner e bot. Il NAS risponde comunque sulla sua porta nativa.

Le porte più usate per i NAS:

• 5001 (Synology DSM HTTPS)
• 443 o 8443 (interfaccia web generica)
• 22 (SSH — da evitare esposta su internet, usa chiavi e cambia porta)
• 445 (SMB — mai esporre su internet, usa VPN)
• 32400 (Plex Media Server)

DDNS: l'IP dinamico non è un problema

Se non hai IP statico, un servizio DDNS (Dynamic DNS) aggiorna automaticamente un hostname (es. tuacasa.ddns.net) ogni volta che l'IP pubblico cambia.

Opzioni gratuite e affidabili:

• Duck DNS (duckdns.org) — gratuito, supportato da quasi tutti i router e NAS
• No-IP — gratuito con verifica mensile, client disponibile
• Cloudflare DNS — se hai un dominio su Cloudflare, puoi usare le API per aggiornarlo automaticamente

La maggior parte dei NAS Synology, QNAP e altri ha il client DDNS integrato nel pannello di controllo. Configuri il servizio una volta e il NAS aggiorna l'hostname da solo.

Sicurezza: cosa non esporre mai

Port forwarding apre un accesso diretto dall'internet verso la tua rete. Alcune regole:

Non esporre mai:

• SMB (porta 445 o 139) — protocollo pensato per reti locali, pieno di vulnerabilità storiche
• RDP di Windows (porta 3389) — bersaglio preferito dei ransomware
• Telnet e FTP in chiaro
• Pannelli di admin su porta 80 (HTTP)

Fai sempre:

• Usa HTTPS, non HTTP
• Abilita autenticazione a due fattori sul NAS
• Mantieni il firmware del NAS aggiornato
• Imposta fail2ban o rate limiting sul NAS per bloccare attacchi brute force
• Considera una porta non standard per i servizi esposti

Alternativa consigliata: VPN sul router

Se devi accedere a più servizi della rete locale (non solo il NAS), una VPN è molto più sicura del port forwarding multiplo. Con WireGuard o OpenVPN sul router, ti connetti alla rete di casa come se fossi fisicamente lì — e puoi raggiungere qualsiasi dispositivo senza aprire porte aggiuntive.

Synology e QNAP hanno VPN Server integrato (OpenVPN e L2TP). Molti router MikroTik supportano WireGuard nativamente.

La VPN aggiunge un step di autenticazione in più prima ancora di raggiungere il NAS — superfice di attacco molto ridotta rispetto al port forwarding diretto.

Verifica che il forwarding funzioni

Strumenti utili per testare:

# Da un'altra rete (mobile o VPN diversa), testa la porta
nc -zv TUO_IP_PUBBLICO 8443

# Oppure usa canyouseeme.org dal browser
# Inserisci la porta e verifica se è raggiungibile

Se il test fallisce: controlla che il firewall del NAS non blocchi le connessioni in ingresso, verifica l'IP locale del NAS e assicurati che la regola sul router sia salvata e attiva.