Configura um servidor WireGuard, um servidor de jogos ou um NAS em casa — e do exterior, nada se conecta. A peça que falta é quase sempre o encaminhamento de portas: a configuração do router que abre uma passagem deliberada para um serviço na sua rede. Este guia explica o que é o encaminhamento de portas, como configurá-lo, os riscos de segurança a considerar e a barreira do CGNAT que o impede — com a alternativa quando isso acontece.
O que é o encaminhamento de portas
Por padrão, o seu router utiliza NAT para partilhar um IP público por todos os seus dispositivos, e bloqueia conexões de entrada não solicitadas — assim, nada na internet pode aceder a um serviço a correr em casa. Isso é bom para a segurança, mas também significa que o seu servidor auto-hospedado é inacessível.
O encaminhamento de portas cria uma exceção controlada: uma regra que diz "o tráfego que chega na porta externa X vai para o IP local e porta deste dispositivo." Envie a porta UDP do WireGuard para o seu servidor 192.168.1.50, e de repente o seu túnel é acessível de qualquer lugar.
Como configurá-lo
- Dê ao dispositivo um IP local estático (reserve-o no DHCP do seu router) para que a regra não se quebre mais tarde.
- Abra a página de administração do seu router (frequentemente
192.168.1.1), encontre Encaminhamento de Portas (também conhecido como "Servidor Virtual" ou "NAT"). - Adicione uma regra: porta externa, protocolo (WireGuard = UDP), e o IP e porta internos do dispositivo.
- Guarde e teste a partir do exterior — use dados móveis, não o seu próprio Wi-Fi (muitos routers não fazem loopback internamente).
Para o próprio servidor WireGuard, veja auto-hospedar uma VPN na Contabo com WireGuard, e combine o encaminhamento de portas com DNS dinâmico para que um IP doméstico em mudança não quebre o acesso.
TCP, UDP e usar uma porta externa diferente
Dois detalhes confundem as pessoas depois de a regra parecer correta:
- Escolha o protocolo certo. Encaminhe UDP para WireGuard, TCP para um site ou SSH, ou ambos se um serviço precisar de ambos. Encaminhar TCP quando o serviço é UDP é um dos erros mais comuns de "a regra está lá mas nada se conecta".
- A porta externa e interna não precisam coincidir. Pode encaminhar externa 41194 → interna 51820, para que o mundo exterior fale com uma porta incomum enquanto o seu servidor mantém a sua normal. Isso reduz o ruído de bots a escanear a porta padrão; basta definir o
Endpointde cada cliente para a porta externa. É um endurecimento leve, não um verdadeiro stealth.
Uma referência rápida de portas: WireGuard UDP 51820, OpenVPN UDP 1194, HTTPS TCP 443, SSH TCP 22. Evite encaminhar 22 ou portas de administração diretamente para a internet, a menos que as tenha protegido.
O lado da segurança
Cada porta encaminhada é uma porta aberta para um serviço — então o risco é expor algo fraco:
- Encaminhe o mínimo — idealmente um ponto de entrada bem seguro.
- Mantenha esse serviço atualizado e autenticado (sem senhas padrão, sem painéis de administração expostos).
- Prefira uma VPN devidamente configurada (WireGuard) como a sua única porta encaminhada, depois aceda a tudo o resto através do túnel, em vez de encaminhar muitos serviços diretamente.
Nunca encaminhe uma porta para um serviço que não tenha reforçado.
UPnP e disparo de portas: as opções automáticas
Regras manuais não são a única forma de abrir uma porta:
- UPnP permite que apps solicitem automaticamente um encaminhamento de porta (consolas de jogos e clientes de torrent dependem disso). Conveniente, mas significa que qualquer dispositivo na sua LAN pode abrir portas sem pedir — uma verdadeira troca de segurança. Deixe-o ligado para jogos casuais, desligue-o e encaminhe manualmente para qualquer coisa que valorize.
- Disparo de portas abre uma porta de entrada apenas depois de um dispositivo enviar tráfego de saída numa porta de disparo, depois fecha-a novamente. É mais dinâmico do que uma regra estática e útil para apps com portas variáveis, mas não se adequa a um serviço sempre ativo como uma VPN, que precisa da porta aberta permanentemente.
Para uma VPN auto-hospedada, uma única regra UDP manual para um servidor com IP estático é a escolha certa — previsível e auditável, ao contrário do UPnP.
A barreira do CGNAT — e a solução
A razão mais comum para o encaminhamento de portas "não funcionar" não é uma regra mal configurada — é o CGNAT. Muitos ISPs (especialmente móveis e alguns de fibra) colocam-no atrás de um NAT de Grau de Operadora, onde partilha um IP público com outros clientes e não tem um IP público real próprio. Nenhuma regra de router pode encaminhar uma porta que não controla.
Verifique: se o IP WAN reportado pelo seu router não coincide com o que um site "qual é o meu IP" mostra, está atrás do CGNAT. As soluções: peça ao seu ISP um IP público, use uma rede de sobreposição (Tailscale/NetBird) que não precisa de porta de entrada, ou execute o seu serviço num VPS barato com um IP público permanente. Um VPS Contabo a €4,99/mês dá-lhe um IP público real e um ponto de entrada WireGuard limpo sem dores de cabeça de encaminhamento de portas ou CGNAT — compare hosts no nosso melhor guia de VPN auto-hospedada.
A conclusão
O encaminhamento de portas abre uma passagem deliberada através do NAT do seu router para que a internet possa aceder a um serviço em casa — essencial para um servidor WireGuard auto-hospedado, e melhor combinado com um IP local estático e DNS dinâmico. Encaminhe apenas o que tiver seguro, prefira um único ponto de entrada VPN, e se o CGNAT o bloquear, um VPS barato com um IP público permanente é a forma limpa de contorná-lo.
Guia editorial baseado em como o NAT, encaminhamento de portas e CGNAT funcionam em redes domésticas. Os resultados dependem do seu ISP e router. Links comerciais têm o atributo rel="sponsored nofollow"; pode aplicar-se uma comissão de afiliado sem custo adicional para si.
★ Datacenter GDPR em Nuremberg · ✓ IPv4 dedicado incluído · 200+ Mbps garantidos
Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→
