¿Qué significa realmente "abierto" aquí?

**Abierto** significa que **el handshake TCP de tres pasos se completó**: enviamos SYN, el servidor respondió SYN-ACK, respondimos ACK. Esa es la prueba de que **algo escucha** y de que el firewall deja pasar el paquete. **No** significa que el servicio hable el protocolo que crees. El puerto 443 podría estar abierto sirviendo HTTP plano, o abierto sin ejecutar TLS aún. Solo significa que la puerta no está cerrada con llave.

Abierto vs cerrado vs filtrado, ¿cuál es la diferencia práctica?

**Abierto**: el servidor aceptó el handshake, un servicio escucha. **Cerrado**: el servidor respondió con TCP RST (ECONNREFUSED), lo que significa que el host está arriba pero **ningún proceso está enlazado** a ese puerto. **Filtrado**: **no obtuvimos respuesta** en 4 segundos, casi siempre un firewall haciendo DROP en lugar de REJECT. Cerrado te dice "el host está bien, el servicio está caído". Filtrado te dice "un firewall se interpone" (o el host está totalmente desconectado).

¿Por qué un solo puerto? ¿Por qué no un escaneo completo?

Un escaneo completo de puertos son **30.000+ sondas** contra un host. Desde una IP cloud compartida, eso hace que la IP entre en listas negras en horas y además es ilegal en muchas jurisdicciones sin permiso escrito. Esta herramienta es para **depuración operativa** ("¿está arriba mi servicio?"), no para reconocimiento. Si necesitas legítimamente un escaneo completo, ejecuta **nmap** desde tu propia máquina contra tu propia red.

¿Por qué algunos firewalls hacen DROP en vez de REJECT?

**DROP** (descartar en silencio) hace que el host parezca offline. **REJECT** (enviar RST o ICMP unreachable) le dice al atacante "estoy aquí pero no escucha nada". Los equipos de seguridad prefieren DROP para **servicios de cara al público** porque ralentiza a los escáneres de puertos. Cada puerto cerrado se lleva un timeout completo en lugar de un milisegundo. El trade-off: las pruebas legítimas de conectividad se ven indistinguibles de un corte de red.

TCP vs UDP, ¿por qué esta herramienta solo comprueba TCP?

**TCP** es orientado a conexión: hay un handshake, una señal clara de "aceptado" o "rechazado". **UDP** es disparar y olvidar: envías un paquete, nadie está obligado a responder. Comprobar un puerto UDP como 53 (DNS) o 123 (NTP) requiere **hablar el protocolo real** porque "silencio" puede significar tanto "abierto" como "filtrado". Para HTTP-sobre-QUIC (UDP 443), usa un cliente HTTP/3 real. Esta herramienta se mantiene solo en TCP a propósito.

Cheatsheet rápido, ¿qué corre en qué puerto por defecto?

Los clásicos: **22** SSH, **25** SMTP servidor a servidor, **53** DNS, **80** HTTP, **110** POP3, **143** IMAP, **443** HTTPS, **465** SMTPS, **587** SMTP submission, **993** IMAPS, **995** POP3S. Bases de datos: **3306** MySQL/MariaDB, **5432** PostgreSQL, **6379** Redis, **27017** MongoDB, **9200** Elasticsearch. Administración: **3389** RDP, **5900** VNC, **8080**/**8443** servidores HTTP de dev. Lista completa en IANA, pero estos cubren el 95% de las comprobaciones del mundo real.

¿Cómo ejecuto un escaneo real desde mi propia red?

Instala **nmap** (`brew install nmap`, `apt install nmap`, `choco install nmap`). Para un escaneo TCP completo de un host: `nmap -p- -sV tu-servidor.com`. Para los 1000 puertos más comunes: `nmap -sV tu-servidor.com`. Para UDP: `nmap -sU -p 53,123 tu-servidor.com` (lento, requiere root). **Ten siempre permiso por escrito** antes de escanear cualquier cosa que no sea tuya. Muchos proveedores (AWS, GCP, Hetzner) requieren aviso previo incluso para tus propios recursos.

Mi comprobación de puerto falla pero el servicio definitivamente funciona desde dentro de la red. ¿Por qué?

Casi siempre es **una de cuatro cosas**: (1) El servicio está enlazado a `127.0.0.1` en lugar de `0.0.0.0`, arregla la dirección de bind. (2) Un firewall a nivel de nube (AWS Security Group, regla de firewall GCP, Hetzner Cloud Firewall) bloquea el ingreso público. (3) El firewall del host (`ufw`, `firewalld`, Windows Firewall) rechaza el puerto. (4) El NAT o el port forwarding del router no reenvía el puerto público al host interno. La comprobación de un solo puerto te dice "el mundo exterior no puede llegar a esto", y el siguiente paso es revisar cada capa.

¿Está bien escanear los servidores de otros con esta herramienta?

**No.** Incluso una sola conexión TCP a un puerto de un desconocido puede violar la **Computer Fraud and Abuse Act** (EE. UU.), la **Computer Misuse Act** (UK) y leyes similares en la UE. Muchos términos de servicio de ISPs prohíben explícitamente el escaneo de puertos. El agresivo límite de **30 comprobaciones por hora por IP** existe precisamente para hacer esta herramienta útil para trabajo operativo legítimo e inútil para cualquier otra cosa. Comprueba solo **tu propia** infraestructura, o hosts que tengas **permiso por escrito** para sondear.

Comprobación de alcance de puerto - gratis

Comprobación de accesibilidad de puerto

Abre una conexión TCP a un host público y mira qué responde. ¿Abierto, cerrado o silenciosamente descartado por un firewall? También captura el banner del servidor si lo envía.

Tu solicitud va a nuestro servidor, que abre una conexión TCP al host que proporcionaste. No almacenamos historial de comprobaciones. Límite de 30 comprobaciones por hora por IP.

¿Qué hace la comprobación de accesibilidad de puerto?

Escribe un host (dominio o IP pública) y un puerto TCP, pulsa Comprobar y nuestro servidor abre una conexión TCP a esa dirección desde una IP pública. Te devuelve una de tres respuestas: abierto (algo escucha), cerrado (el servidor rechazó activamente con RST) o filtrado (el paquete se esfumó, casi siempre un firewall).

Esto no es un escáner de puertos. Comprueba un puerto cada vez y está limitado a 30 comprobaciones por hora por IP a propósito. Es la herramienta adecuada cuando acabas de reiniciar un servicio y quieres confirmar que el firewall se ha vuelto a abrir, cuando SMTP no acepta correo y quieres descartar la capa de red, o cuando un cliente dice "vuestra API no es accesible" y quieres una segunda opinión desde otra red.

Si el servidor saluda al cliente al conectar (SSH, SMTP, FTP, POP3, IMAP, Redis lo hacen a menudo), se captura y se muestra la primera línea del banner. Los banners son útiles: revelan el software, la versión y a veces el SO.

Cómo usarla

Escribe un host: un dominio como `mail.ejemplo.com` o una IP pública como `93.184.216.34`. Sin esquema, sin ruta. Las direcciones privadas (`192.168.x`, `10.x`, `127.x`) están bloqueadas a propósito.

Elige un puerto de los chips preset (22 SSH, 443 HTTPS, 25 SMTP, etc.) o escribe cualquier número de 1 a 65535.

Pulsa Comprobar. La sonda tarda hasta 5 segundos: 4s para el handshake TCP, 1s esperando un banner opcional.

Lee la pastilla de estado: verde = abierto, rojo = cerrado, ámbar = filtrado, gris = error. Cada una viene con una explicación de una línea.

Si el servidor envió un banner, léelo. SSH muestra la versión, SMTP muestra el nombre del MTA, FTP muestra el daemon. Es normal y suele ser seguro exponerlo.

Cuándo es útil

Cinco situaciones del día a día en las que una comprobación de un solo puerto supera entrar por SSH a la máquina:

¿Se ha abierto realmente el firewall? Añadiste una regla en AWS Security Groups, Cloudflare o ufw y quieres una confirmación rápida desde fuera.
¿SMTP escucha de verdad? Tu servidor de correo afirma que el puerto 25 está arriba pero el correo no fluye. Comprueba desde fuera, porque muchos ISPs y nubes bloquean el 25 saliente por defecto.
El servicio se cayó en silencio. Tu monitoring lo pasó por alto. Una comprobación de 2 segundos te dice si Postgres, Redis o MySQL es accesible siquiera.
El cliente dice "vuestra API está caída". Su red podría ser el problema. Ejecuta la misma comprobación desde una ubicación neutral y compara.
Test de humo tras migración. Has movido un servicio a un nuevo host. Confirma que SSH (22), HTTPS (443) y cualquier puerto personalizado están arriba antes de cambiar el DNS.

Relacionadas: inspector de certificados SSL, consulta DNS, inspector de cabeceras HTTP.

Preguntas y respuestas

Un puerto es una puerta numerada en un servidor. La dirección IP te lleva al edificio, el número de puerto te lleva a un apartamento concreto. 80 es la puerta que usa HTTP, 443 es HTTPS, 22 es SSH, 25 es el correo entre servidores, 3306 es MySQL. Cada servicio que escucha se enlaza a un puerto. Cuando te conectas, tu portátil le dice al servidor a qué puerta quieres llamar.

¿Qué hace la comprobación de accesibilidad de puerto?

Cómo usarla

Elige un puerto de los chips preset (22 SSH, 443 HTTPS, 25 SMTP, etc.) o escribe cualquier número de 1 a 65535.

Pulsa Comprobar. La sonda tarda hasta 5 segundos: 4s para el handshake TCP, 1s esperando un banner opcional.

Lee la pastilla de estado: verde = abierto, rojo = cerrado, ámbar = filtrado, gris = error. Cada una viene con una explicación de una línea.

Si el servidor envió un banner, léelo. SSH muestra la versión, SMTP muestra el nombre del MTA, FTP muestra el daemon. Es normal y suele ser seguro exponerlo.

Cuándo es útil

Cinco situaciones del día a día en las que una comprobación de un solo puerto supera entrar por SSH a la máquina:

¿Se ha abierto realmente el firewall? Añadiste una regla en AWS Security Groups, Cloudflare o ufw y quieres una confirmación rápida desde fuera.
¿SMTP escucha de verdad? Tu servidor de correo afirma que el puerto 25 está arriba pero el correo no fluye. Comprueba desde fuera, porque muchos ISPs y nubes bloquean el 25 saliente por defecto.
El servicio se cayó en silencio. Tu monitoring lo pasó por alto. Una comprobación de 2 segundos te dice si Postgres, Redis o MySQL es accesible siquiera.
El cliente dice "vuestra API está caída". Su red podría ser el problema. Ejecuta la misma comprobación desde una ubicación neutral y compara.
Test de humo tras migración. Has movido un servicio a un nuevo host. Confirma que SSH (22), HTTPS (443) y cualquier puerto personalizado están arriba antes de cambiar el DNS.

Relacionadas: inspector de certificados SSL, consulta DNS, inspector de cabeceras HTTP.

Preguntas y respuestas

Comprobación de alcance de puerto

¿Qué hace la comprobación de accesibilidad de puerto?

Cómo usarla

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Consulta DNS

Inspector de certificado SSL

Inspector de cabeceras HTTP

Comprobación de preparación IPv6

Detector de proveedor cloud / CDN

Comprobación de alcance de puerto

¿Qué hace la comprobación de accesibilidad de puerto?

Cómo usarla

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Consulta DNS

Inspector de certificado SSL

Inspector de cabeceras HTTP

Comprobación de preparación IPv6

Detector de proveedor cloud / CDN