Red

Referencia de números de puerto

Lista de referencia de los puertos TCP/UDP más comunes y para qué se usan: FTP, SSH, HTTP, HTTPS, MySQL, Redis y más. Útil para configurar reglas de firewall y solucionar errores de "conexión rechazada", con filtro de búsqueda en vivo.

Puertos conocidos 0–1023 Puertos registrados 1024–49151 Puertos dinámicos/privados 49152–65535
Tabla de números de puerto
Puerto Protocolo TCP/UDP Rango Uso
20 FTP (Data) TCP Puertos conocidos Se usa para la transferencia de datos de FTP (modo activo). Cada vez más sustituido por SFTP y FTPS.
21 FTP (Control) TCP Puertos conocidos Se usa para la conexión de control de FTP, que transporta comandos y respuestas.
22 SSH TCP Puertos conocidos Se usa para el inicio de sesión remoto cifrado mediante SSH, y la transferencia de archivos mediante SCP/SFTP.
23 Telnet TCP Puertos conocidos Se usa para el inicio de sesión remoto sin cifrar mediante Telnet. Se recomienda SSH por el riesgo de interceptación.
25 SMTP TCP Puertos conocidos Se usa para el reenvío de correo SMTP entre servidores de correo.
53 DNS TCP/UDP Puertos conocidos Se usa para la resolución de nombres DNS. Las consultas habituales usan UDP; las transferencias de zona y respuestas grandes usan TCP.
67 DHCP (Server) UDP Puertos conocidos Lo usa un servidor DHCP para asignar direcciones IP a los clientes.
68 DHCP (Client) UDP Puertos conocidos Lo usa un cliente DHCP para solicitar una dirección IP.
69 TFTP UDP Puertos conocidos Se usa para transferencias de archivos ligeras sin autenticación mediante TFTP, habitual en actualizaciones de firmware de equipos de red.
80 HTTP TCP Puertos conocidos Se usa para la entrega de páginas web sin cifrar mediante HTTP.
110 POP3 TCP Puertos conocidos Lo usan los clientes de correo para descargar mensajes mediante POP3.
123 NTP UDP Puertos conocidos Se usa para sincronizar la hora entre equipos mediante NTP.
143 IMAP TCP Puertos conocidos Se usa para gestionar y sincronizar el correo entre varios dispositivos mediante IMAP.
161 SNMP UDP Puertos conocidos Se usa para monitorizar y consultar el estado de equipos de red mediante SNMP.
162 SNMP Trap UDP Puertos conocidos Se usa para recibir traps SNMP, notificaciones enviadas de forma proactiva por los equipos.
194 IRC TCP Puertos conocidos Se usa para chat en tiempo real mediante IRC.
389 LDAP TCP Puertos conocidos Se usa para consultar servicios de directorio (usuarios y organizaciones) mediante LDAP.
443 HTTPS TCP Puertos conocidos Se usa para la entrega segura de páginas web mediante HTTPS (HTTP sobre TLS).
445 SMB TCP Puertos conocidos Se usa para compartir archivos e impresoras de Windows mediante SMB.
465 SMTPS TCP Puertos conocidos Se usa para el envío cifrado de correo mediante SMTPS (SMTP sobre TLS).
587 SMTP Submission TCP Puertos conocidos Puerto estándar que usan los clientes de correo para enviar mensajes salientes a un servidor de correo.
636 LDAPS TCP Puertos conocidos Se usa para la comunicación cifrada de servicios de directorio mediante LDAPS (LDAP sobre TLS).
993 IMAPS TCP Puertos conocidos Se usa para la sincronización cifrada de correo mediante IMAPS (IMAP sobre TLS).
995 POP3S TCP Puertos conocidos Se usa para la recepción cifrada de correo mediante POP3S (POP3 sobre TLS).
1433 MSSQL TCP Puertos registrados Se usa para conexiones a bases de datos Microsoft SQL Server.
3306 MySQL TCP Puertos registrados Se usa para conexiones a bases de datos MySQL/MariaDB.
3389 RDP TCP Puertos registrados Se usa para conexiones de escritorio remoto de Windows mediante RDP.
5432 PostgreSQL TCP Puertos registrados Se usa para conexiones a bases de datos PostgreSQL.
5900 VNC TCP Puertos registrados Se usa para compartir pantalla de escritorio remoto mediante VNC.
6379 Redis TCP Puertos registrados Se usa para conexiones al almacén de datos en memoria Redis.
8080 HTTP (Alt) TCP Puertos registrados Puerto alternativo habitual de HTTP, usado a menudo por servidores proxy y servidores web de desarrollo.
8443 HTTPS (Alt) TCP Puertos registrados Puerto alternativo habitual de HTTPS, usado a menudo por servidores de aplicaciones como Tomcat.
9200 Elasticsearch TCP Puertos registrados Se usa para conexiones a la API REST de Elasticsearch.
27017 MongoDB TCP Puertos registrados Se usa para conexiones a bases de datos MongoDB.

Consejos

  • Al escribir reglas de firewall, abre solo los puertos que realmente necesitas y deniega el resto por defecto: los fundamentos de seguridad no han cambiado en décadas.
  • Si ves "conexión rechazada", primero comprueba si el servicio realmente está escuchando en ese puerto con herramientas como netstat -an o ss -tlnp.
  • Los puertos conocidos (0–1023) como el 80 y el 443 suelen requerir privilegios de administrador para enlazarse en la mayoría de sistemas operativos, por lo que las aplicaciones sin privilegios suelen usar alternativas como el 8080.
  • Un mismo servicio suele usar un puerto distinto para su variante sin cifrar y la cifrada (por ejemplo, 80/HTTP frente a 443/HTTPS, 21/FTP frente a 990/FTPS); no los confundas.
  • Los números de puerto de esta referencia se aplican directamente a las reglas de grupos de seguridad en entornos en la nube como AWS, GCP y Azure.

Preguntas frecuentes

Una dirección IP identifica el "edificio" (el equipo) con el que te comunicas, mientras que un número de puerto identifica la "habitación" concreta (aplicación o servicio) dentro de ese edificio. En el mismo servidor, el puerto 80 puede dirigir a un servidor web y el puerto 22 a un servidor SSH: el número de puerto determina qué servicio recibe el tráfico.

TCP es un protocolo centrado en la fiabilidad que confirma la entrega y retransmite los datos perdidos, usado para cargar páginas web o transferir archivos. UDP es un protocolo ligero que omite las confirmaciones, usado cuando la velocidad importa más que la entrega garantizada, como en consultas DNS, videojuegos en línea o streaming de vídeo.

Primero confirma que el servicio (proceso) realmente se está ejecutando y escuchando en ese puerto. Si es así, comprueba a continuación si un firewall (iptables, ufw, un grupo de seguridad en la nube, etc.) está bloqueando el tráfico hacia ese puerto.

Los sitios nuevos deberían funcionar en general exclusivamente por el puerto 443 (HTTPS). Mantener el puerto 80 (HTTP) solo para redirigir al 443 se considera la mejor práctica actual.

Es habitual elegir un número dentro del rango 1024–49151 de "puertos registrados", idealmente uno que no coincida con otros servicios comunes (por ejemplo, 8080 o un número en los 3000). Evita los "puertos conocidos" 0–1023, reservados para servicios estándar ya establecidos.
ツールくん

A propósito — ¿Por qué los números de puerto llegan solo hasta 65535?

Los números de puerto se limitan al rango 0–65535 porque el campo de número de puerto en la cabecera TCP/UDP se define con 16 bits (2 bytes). Dos elevado a 16 es 65536, así que, excluyendo el puerto 0, el rango utilizable va del 1 al 65535. Este diseño se fijó cuando TCP/IP se estandarizó a principios de los años 80 y nunca ha cambiado desde entonces.

La IANA (Internet Assigned Numbers Authority) divide todos los puertos en tres rangos. Los puertos 0–1023, los "puertos conocidos", están reservados para servicios muy utilizados como HTTP y SSH. Los puertos 1024–49151, los "puertos registrados", pueden solicitarse y registrarse por empresas o proyectos. Los puertos 49152–65535 son "puertos dinámicos/privados", usados libremente por los clientes como puertos de origen temporales.

Incluso puertos tan conocidos como el 80 (HTTP) y el 443 (HTTPS) no tuvieron su propósito actual desde el principio. El puerto 443 se asignó a HTTPS en 1994, cuando Netscape lo solicitó a la IANA mientras desarrollaba SSL (Secure Sockets Layer).

Para reducir el riesgo de ataques de escaneo de puertos, algunos servidores en producción cambian el puerto SSH por defecto (22) por otro valor, una técnica a veces llamada "port knocking". Sin embargo, esto es seguridad por oscuridad y nunca sustituye a los fundamentos, como una autenticación fuerte y mantener el software actualizado.

→ Ver todas las curiosidades