Reenvío de puertos CCcam: Mejor configuración& guía de configuración
Si tienes CCcam u OScam funcionando correctamente en tu LAN — el servidor inicia, el registro muestra que está escuchando, los clientes locales obtienen ECMs bien — pero cualquier cosa fuera de tu red no recibe más que tiempos de espera, esto es casi siempre un problema de reenvío de puertos, no un problema de configuración de CCcam. He depurado esta configuración más veces de las que puedo contar, y el 90% del tiempo se reduce a un puñado de errores: puerto incorrecto, protocolo incorrecto, o un enrutador que silenciosamente está haciendo doble NAT. Esta guía repasa las mejores prácticas de reenvío de puertos cccam desde cero — qué puerto elegir, cómo reenviarlo correctamente, y cómo verificar realmente que está funcionando en lugar de solo esperar.
Cubrirá la configuración del enrutador, las reglas del firewall del lado del servidor en ambas cajas Linux y receptores Enigma2, y los pasos de solución de problemas para las cosas feas — CGNAT, IPs dinámicas, doble NAT — que la mayoría de los tutoriales omiten por completo.
Cómo funciona realmente el reenvío de puertos CCcam
Antes de tocar tu enrutador, entiende qué es lo que realmente estás reenviando y por qué. Un reenvío es solo una regla que dice: cuando un paquete llega a mi IP pública en el puerto X, envíalo a este dispositivo específico en mi LAN en el puerto X. Nada más místico que eso. Si te equivocas con el puerto y el protocolo, ninguna regla en el mundo lo solucionará.
El puerto de escucha de CCcam y dónde se define
El puerto de escucha de tu servidor CCcam se encuentra en/var/etc/CCcam.cfg (en cajas Enigma2) o/etc/CCcam.cfg en una instalación de Linux, bajo la línea:
PUERTO DE ESCUCHA DEL SERVIDOR : 20500
Ese número es con el que todo lo que está aguas abajo tiene que estar de acuerdo — la regla del enrutador, cualquier regla de firewall del servidor, y el campo de puerto en cada clienteC: línea. Si estás ejecutando OScam en su lugar, el equivalente se encuentra en/etc/oscam/oscam.server bajo el bloque newcamd:
[newcamd]&01,0200:000000
El@caid:ident parte después del puerto es filtrado por CAID/proveedor, no parte del puerto — no lo reenvíes como si fuera un rango.
TCP vs UDP: qué protocolo utilizan CCcam newcamd/cccam
El protocolo nativo de CCcam funciona sobre TCP, punto. El newcamd de OScam y cs378x también utilizan TCP. La única excepción es el protocolo camd35 (cs357x) de OScam, que utiliza UDP. Esto es importante porque reenviar TCP cuando el servicio escucha en UDP (o viceversa) produce un puerto que parece "abierto" en algunos verificadores pero nunca completa realmente una conexión. Empareja el protocolo con el servicio, cada vez.
IP LAN vs IP WAN y el papel de NAT
Tu enrutador tiene una dirección IP pública (WAN) compartida por cada dispositivo detrás de él. Tu servidor CCcam tiene una IP LAN privada como 192.168.1.50 que no tiene sentido fuera de tu red. NAT (Traducción de Direcciones de Red) es el trabajo del enrutador de reescribir paquetes entre estos dos mundos. Un reenvío de puerto es una excepción manual que introduces en esa traducción: WAN:20500 → 192.168.1.50:20500.
Por qué el puerto predeterminado 12000 es una mala elección
12000 es el predeterminado de CCcam directamente de la caja, lo que significa que también es el primer puerto que cada escáner automatizado en internet intenta al buscar servidores de cardsharing. Ejecutar en 12000 no hace que tu configuración sea insegura por sí misma, pero sí invita a mucho ruido — intentos de inicio de sesión fallidos, inundaciones de conexiones, tráfico de escaneo — que no necesitas. Elige otra cosa.
Elegir el mejor puerto y protocolo
Entonces, ¿cuál es la respuesta real aquí? Cuando la gente pregunta sobre las mejores configuraciones de reenvío de puertos cccam, esta es la parte que realmente buscan — un número concreto y una regla concreta, no consejos vagos.
Rango de puertos recomendado y por qué evitar puertos bajos/conocidos
Elige un solo puerto TCP no utilizado en algún lugar del rango 20000-50000. Cualquier cosa por debajo de 1024 es un puerto bien conocido reservado para servicios estándar (no toques esos), y cualquier cosa cerca de valores predeterminados comunes como 12000 o 15000 se escanea constantemente. He tenido buenos resultados estacionando servidores en puertos como 23789 o 41102 — básicamente elige algo que no sea un número redondo y no sea un valor predeterminado documentado. No hay un "mejor" puerto único mágicamente; la seguridad proviene de la imprevisibilidad, no de un valor específico.
Puerto único vs múltiples puertos para múltiples protocolos
Si solo estás ejecutando CCcam, reenvías exactamente un puerto, TCP. Si estás ejecutando OScam junto con él con múltiples protocolos de lector habilitados — digamos cs378x en 20500/TCP, newcamd en 20501/TCP, y camd35 en 20502/UDP — reenvías cada uno de ellos individualmente, con el protocolo correcto por regla. No intentes ahorrar tiempo reenviando un gran rango como 20000-21000 "por si acaso". Eso abre una superficie mucho mayor de la que necesitas y hace que sea más difícil razonar sobre lo que realmente está expuesto.
Emparejando exactamente el puerto del cliente y del servidor
Cada configuración de cliente tiene una línea como:
C: myserver.ddns.net 20500 nombredeusuario contraseña
Ese 20500 tiene que ser idéntico alPUERTO DE ESCUCHA DEL SERVIDOR valor y idéntico al puerto externo en la regla de reenvío de tu router. Si alguno de esos tres no coincide — digamos que cambiaste el puerto de CCcam.cfg después de que los clientes ya estaban configurados — tendrás fallos de conexión silenciosos sin un error útil en ninguno de los lados. Este es el problema más común de "por qué no funciona esto" que veo, y también es central para obtener los mejores resultados de reenvío de puertos de cccam: tres números, un valor, sin excepciones.
IP interna estática para mantener el reenvío estable
La regla de tu router apunta a una IP LAN específica. Si tu servidor CCcam o receptor Enigma2 obtiene su dirección a través de DHCP, esa IP puede cambiar después de un reinicio o renovación de arrendamiento — y tu reenvío comienza a apuntar silenciosamente al dispositivo equivocado, o a nada en absoluto. Soluciona esto una vez: establece una IP estática en el servidor mismo, o crea una reserva DHCP en tu router (asocia una IP específica a la dirección MAC de ese dispositivo de forma permanente). Prefiero las reservas DHCP porque mantienes el control centralizado desde la página de administración del router en lugar de buscar en las configuraciones de la caja más tarde.
Configuración de reenvío de puertos del router paso a paso
Aquí está el recorrido real, lo suficientemente agnóstico al protocolo como para aplicarse a cualquier router que estés utilizando.
Encontrando la IP LAN del servidor
En la caja Linux de CCcam/OScam ejecutaip addr show ohostname -I. En un receptor Enigma2, verifica la configuración de red en el menú, o accede por SSH y ejecutaifconfig. Anota esta IP — la necesitarás para la regla del router y, idealmente, para la reserva DHCP mencionada anteriormente.
Creando la regla de servidor NAT/virtual
Inicia sesión en la página de administración de tu router (generalmente 192.168.1.1 o 192.168.0.1) y encuentra Reenvío de Puertos, a veces etiquetado como Servidor Virtual, Reenvío NAT, o Aplicaciones& Juegos dependiendo de la marca. Crea una nueva regla:
- Puerto externo/WAN: tu puerto elegido (por ejemplo, 20500)
- Puerto interno/LAN: mismo número, 20500
- Protocolo: TCP (o UDP si eso es lo que necesita el servicio específico)
- IP interna: la IP LAN de tu servidor del paso anterior
Guarda y, en la mayoría de los routers de consumo, esto se aplica sin reiniciar. Algunos firmware más antiguos necesitan un reinicio para recoger nuevas reglas NAT — si la regla muestra guardada pero no está funcionando, reinicia el router antes de solucionar más problemas.
Manejando doble NAT y modo puente
Muchas configuraciones de ISP colocan un módem/router combinado frente a tu propio router, lo que significa dos capas de NAT apiladas una sobre la otra. Si esa es tu configuración, el reenvío en tu propio router solo no hace nada — los paquetes nunca pasan del dispositivo del ISP. Tienes dos opciones: reenviar el mismo puerto en ambos dispositivos (el módem del ISP reenvía a la IP de tu router que enfrenta WAN, tu router reenvía al servidor), o poner el módem del ISP en modo puente para que deje de hacer NAT por completo y entregue a tu router la verdadera IP pública. El modo puente es más limpio si tu ISP lo admite — verifica la página de administración del módem para una configuración de "Modo Puente" o "IP Passthrough".
Verificando que el puerto esté abierto desde afuera
Este es el paso que la gente omite, y es por eso que terminan persiguiendo fantasmas. Probar desde un dispositivo en tu propia LAN no prueba nada — el tráfico LAN nunca toca la regla de reenvío. Necesitas probar desde genuinamente fuera de tu red. Cambia tu teléfono a datos móviles (WiFi apagado) y ejecuta:
nc -vz tu_ip_wan 20500
o usa telnet si netcat no está instalado. Una conexión exitosa confirma que toda la cadena — router y NAT — realmente funciona desde el exterior. Si eso se cuelga o se niega, el problema está aguas arriba de tu servidor, no en CCcam mismo.
Reglas de Firewall en el Servidor (Linux/Enigma2)
El reenvío del router te lleva a la mitad del camino. Si la caja misma está ejecutando un firewall, ese mismo puerto necesita una regla de permitir explícita o los paquetes se perderán justo en el destino.
Regla iptables para permitir el puerto de CCcam
iptables -A INPUT -p tcp --dport 20500 -j ACCEPT
Ajusta el puerto y cambiatcp porudp si estás abriendo un puerto camd35 en su lugar.
equivalentes de ufw / firewalld
En Ubuntu/Debian con ufw:
ufw allow 20500/tcp
En CentOS/RHEL/Fedora con firewalld:
firewall-cmd --permanent --add-port=20500/tcp
Consideraciones del firewall del receptor Enigma2
La mayoría de las imágenes de Enigma2 (OpenATV, OpenPLi y similares) no vienen con un firewall activo por defecto, así que si tu servidor CCcam vive en el propio receptor, el reenvío del router suele ser suficiente. Donde esto confunde a la gente es cuando CCcam se ejecuta en un VPS separado o en un servidor Linux dedicado en su lugar; esos casi siempre tienen iptables, ufw o firewalld activos, y es fácil olvidar la regla del lado del servidor cuando te concentras en el router.
Persistencia de reglas a través del reinicio
Las reglas iptables en bruto desaparecen al reiniciar a menos que las persistas:
iptables-save > /etc/iptables/rules.v4
En Debian/Ubuntu, instala iptables-persistent (o usa netfilter-persistent save) para que rules.v4 se cargue automáticamente al iniciar. ufw y firewalld persisten sus reglas por defecto, así que esto es principalmente un problema específico de iptables.
Solución de problemas de fallos de conexión
Trabaja a través de esto en orden, de adentro hacia afuera. No saltes a "mi ISP me está bloqueando" antes de confirmar lo básico en tu propia caja primero.
Puerto abierto pero el cliente muestra desconectado
Primero, confirma que CCcam realmente está escuchando en el puerto que crees que está:
ss -tlnp | grep 20500
o el equivalente más antiguo, netstat -tlnp | grep 20500 . Si no aparece nada, CCcam no está en ejecución, se ha bloqueado o está configurado para escuchar en un puerto diferente al que asumiste; revisa CCcam.cfg nuevamente. Si está escuchando, confirma que la regla del router y la regla del firewall hacen referencia al mismo puerto y protocolo, luego vuelve a probar externamente con el método nc/telnet de antes.
CGNAT / NAT de grado de operador (WAN 100.64.x.x)
Este es el que confunde a más personas en 2026 que cualquier otra cosa en esta lista, y es lo que la mayoría de las mejores guías de reenvío de puertos cccam nunca mencionan. NAT de Grado de Operador significa que tu ISP te ha puesto detrás de una IP pública compartida junto con cientos de otros clientes; no tienes una dirección pública única en absoluto, así que ninguna regla de reenvío que configures puede funcionar, sin importar cuán correctamente la configures.
Verifica esto: inicia sesión en tu router y mira la IP WAN que informa. Luego verifica por separado whatismyip.com desde un navegador en tu red. Si la IP WAN del router cae en el rango 100.64.0.0/10, o si simplemente no coincide con lo que te muestra whatismyip, estás detrás de CGNAT. Tus opciones son: llamar a tu ISP y pedir una IP pública estática (algunos la ofrecen como un complemento de pago), o configurar un acuerdo de conexión inversa o un VPS que actúe como un relé/túnel al que los clientes se conecten en lugar de tu IP doméstica.
IP pública dinámica y DDNS
Incluso sin CGNAT, la mayoría de los ISP residenciales asignan una IP pública que cambia periódicamente: reinicio del módem, mantenimiento del ISP, expiración del arrendamiento. Si tus clientes están codificados a una dirección IP, se romperán la próxima vez que cambie. Configura DDNS (DNS dinámico); la mayoría de los routers tienen un cliente integrado para servicios como No-IP o DuckDNS; así obtienes un nombre de host como myserver.ddns.net que se actualiza automáticamente. Apunta tu cliente C: líneas al nombre de host en lugar de a una IP en bruto y este problema desaparece.
ISP bloqueando y puerto ya en uso
Un pequeño número de ISP bloquean el tráfico entrante en ciertos rangos de puertos, generalmente los rangos bien conocidos por debajo de 1024; otra razón para permanecer en el rango de puertos altos recomendado anteriormente. Por separado, si CCcam se reinició de manera no limpia (bloqueo, kill -9, pérdida de energía en una caja Enigma2), puedes terminar con un proceso duplicado ocupando el puerto, produciendo "dirección ya en uso" en el registro. Verifica con ps aux | grep CCcam, y mata el proceso obsoleto con killall CCcam antes de iniciar una nueva instancia. También vale la pena verificar que no tengas tanto CCcam como OScam configurados para escuchar en el mismo puerto simultáneamente; esa es una versión autoinfligida del mismo conflicto.
Elegir un proveedor de líneas confiable (Criterios, no nombres)
Ninguna de la configuración de reenvío anterior importa si la línea que alimenta tu servidor es poco confiable. No voy a señalarte proveedores específicos aquí; para eso no es esta guía, pero aquí está lo que realmente separa una línea sólida de una inestable, basado en lo que busco.
Tiempo de actividad y ubicación del servidor en relación contigo
La disponibilidad constante importa más que el número de canales en el encabezado. Un proveedor con menos canales que se mantiene en línea de manera confiable supera a uno con una gran cantidad de canales que se cae cada pocas horas. La geografía del servidor también importa: una línea alojada más cerca de ti, en términos de topología de red, generalmente significa menor latencia en las solicitudes de ECM, lo que se traduce en un cambio más rápido y menos congelamientos.
Soporte de protocolo y comportamiento de reconexión
Asegúrate de que lo que estás evaluando realmente soporte el protocolo para el que estás configurado: newcamd, cccam o ambos, y verifica cómo se comporta al reconectar después de un breve corte de red. Un servidor bien administrado se reconecta de manera limpia y retoma; uno mal administrado requiere intervención manual o te desconecta por períodos prolongados después de cualquier contratiempo.
Qué señales de alerta evitar
Presta atención a congelamientos frecuentes al cambiar de canal, reconexiones forzadas en horas extrañas y puertos que cambian sin previo aviso o explicación. Estas son señales de que un servidor está siendo manejado por demasiados revendedores o funciona en una infraestructura inestable. Si el soporte no responde cuando algo se rompe, eso suele ser un adelanto de cómo será la próxima caída también.
¿Cuál es el mejor puerto para el reenvío de puertos de CCcam?
No hay un número mágico único. Elige cualquier puerto TCP alto no utilizado, aproximadamente en el rango de 20000-50000, y evita el 12000 por defecto junto con otros puertos bajos bien conocidos, ya que estos son escaneados constantemente. La única regla estricta es que el puerto externo reenviado, el puerto de escucha del servidor y el puerto en la línea C: de cada cliente deben coincidir exactamente.
¿CCcam usa TCP o UDP?
El protocolo de CCcam funciona sobre TCP. Si también estás ejecutando OScam, ten en cuenta que camd35 (cs357x) usa UDP mientras que cs378x y newcamd usan TCP; reenvía el protocolo correcto para el servicio que estás exponiendo, ya que hacer coincidir incorrectamente causa fallos silenciosos.
¿Por qué no pueden conectarse los clientes externos aunque el puerto esté reenviado?
Los sospechosos habituales son: CCcam no está escuchando realmente en ese puerto (verifica con ss -tlnp), un firewall del lado del servidor está bloqueando el tráfico, estás detrás de un doble NAT, tu ISP está usando CGNAT, o tu IP pública cambió y nada lo está rastreando. Trabaja a través de cada capa desde el servidor hacia afuera en lugar de adivinar.
¿Cómo puedo reenviar un puerto de CCcam cuando mi ISP usa CGNAT?
El reenvío de puertos estándar físicamente no puede funcionar bajo CGNAT porque no tienes una IP pública única a la que reenviar. Verifica la IP WAN de tu router contra whatismyip.com; si no coinciden, o el router muestra una dirección en 100.64.0.0/10, estás detrás de CGNAT. Desde ahí, pide a tu ISP una IP pública estática como complemento, o configura un túnel/retransmisión VPS o un arreglo de conexión inversa en su lugar.
¿Necesito abrir un rango de puertos o solo un puerto?
Un solo servidor CCcam solo necesita su puerto de escucha reenviado; nada más. Un rango solo es relevante si estás ejecutando múltiples protocolos o múltiples instancias de servidor en diferentes puertos, y aun así deberías reenviar cada puerto específico individualmente en lugar de abrir un rango amplio.
¿Cómo puedo probar si mi puerto de CCcam es accesible desde internet?
Primero, sal de tu red doméstica: cambia tu teléfono a datos móviles; luego ejecuta nc -vz tu_wan_ip puerto o usa telnet, o verifica con una herramienta de verificación de puertos en línea. En el lado del servidor, confirma que CCcam realmente está escuchando con ss -tlnp o netstat -tlnp | grep puerto antes de asumir que la capa de red es el problema.