Cómo Configurar los Puertos de tu Escritorio Remoto - Plenit

Publica los puertos que necesiten tus aplicaciones con una regla de entrada de firewall, y reduce la exposición del servicio.

El acceso habitual al Escritorio Remoto se hace por HTML5 sobre el puerto 443/TCP, cifrado y compatible con los navegadores modernos en Windows, iOS y GNU/Linux.

Aun así, a veces necesitas publicar otros puertos para que ciertas aplicaciones funcionen. Esta guía te enseña a crear la regla de entrada para hacerlo, cuidando la exposición del servicio.

👍
Qué consigues
Una regla de entrada que publica el puerto que necesita tu aplicación, con el origen y el destino acotados para no abrir más de la cuenta.

Antes de empezar

Acceder al panel de administración en admin.plenit.com con permisos sobre el entorno.
Tener el entorno de Escritorio Remoto desplegado. Si aún no lo tienes, móntalo con el Inicio Rápido de Escritorio Remoto.

🚧
Cuidado con el puerto 3389
El puerto 3389/TCP (RDP) es de los primeros que se escanean en un ataque. Evita publicarlo abierto a internet: si necesitas RDP, alcánzalo por VPN y acota el origen con reglas de firewall. Publica solo los puertos que de verdad requieran tus aplicaciones.

Paso 1. Entra en el firewall del entorno

En admin.plenit.com, ve a Cloud Services → Escritorio Remoto y entra en la suscripción del entorno. Abre la pestaña Servers y baja hasta Firewall — Reglas de entrada, donde ves las reglas existentes y puedes crear nuevas.

📘
También durante el despliegue
Puedes crear la regla al desplegar el servicio o más tarde, editándolo. Si estás en el despliegue, ya te encuentras dentro de esta configuración y puedes saltarte el paso de acceso.

Paso 2. Crea la regla de entrada

Pulsa Crear nueva regla de entrada y completa los campos con los valores que pida tu aplicación.

Red y origen:

Red: la red sobre la que trabajas.
Origen: selecciona IP o Network. Marca Cualquier IP para permitir el acceso desde cualquier origen, o introduce una IP o un rango para limitarlo.

Firewall (entrada pública):

Protocol: TCP o UDP, según la comunicación.
IP pública: la IP pública por la que se accederá.
Public Port: el puerto público que publicas.

Servidor (destino interno):

Private IP: la IP privada del servidor de destino.
Private Port: el puerto interno al que se redirige.

🚧
Acota el origen siempre que puedas
"Cualquier IP" abre el puerto a todo internet. Si conoces desde dónde se conectará el cliente, limita el origen a su IP o a su rango: es la diferencia entre publicar un servicio y exponerlo.

Cuando tengas los campos completos, pulsa Continuar para guardar la regla.

Paso 3. Valida que la regla quedó aplicada

Vuelve a Firewall — Reglas de entrada y comprueba que la nueva regla aparece en la lista con la red, el origen, el protocolo, la IP pública y los puertos que definiste.

Conclusión

Publicar un puerto en el Escritorio Remoto es crear una regla de entrada que conecta un puerto público con el servidor y puerto internos.

La clave no es solo abrir el puerto, sino hacerlo con criterio: publica únicamente los que tus aplicaciones necesiten, acota el origen cuando sepas desde dónde se conecta el cliente, y mantén el 3389 de RDP fuera de internet, alcanzándolo por VPN.

Así das servicio sin ampliar la superficie de ataque más de lo necesario.

Siguientes pasos

Protege el acceso administrativo con una VPN de acceso remoto.
Conecta el entorno con la sede del cliente mediante VPN site-to-site.
Asocia usuarios a un dominio existente en Cómo asociar un usuario de Escritorio Remoto a un usuario de dominio.