Gateway de LAN: un cliente, varias máquinas de la red interna

Por defecto, todo cliente SuperDMZ expone servicios corriendo en 127.0.0.1 — o sea, en la máquina donde el propio cliente está instalado. Esto cubre la mayoría de los casos.

Pero en muchos escenarios quieres exponer cosas que están en otras máquinas de la misma red:

• Servidor Windows con SQL Server en 192.168.0.10
• NAS Synology en 192.168.0.50
• Cámara IP en 192.168.0.21
• Impresora en 192.168.0.100

Instalar el cliente SuperDMZ en las 4 es complicado (muchas no corren Windows/Linux). El Gateway de LAN lo resuelve: instalas el cliente en una sola máquina (cualquier PC o servidor siempre encendido) y él rutea hacia las otras.

Cómo funciona

Al crear un túnel en el panel, en vez de "127.0.0.1" eliges "Otra máquina de la red" e informas la IP de destino. El cliente local, al recibir una conexión por el túnel, hace net.Dial directo a la IP de la LAN — el ruteo es responsabilidad del SO, no del SuperDMZ.

Defensa en profundidad

Antes de hacer cualquier dial fuera de 127.0.0.1, el cliente exige opt-in explícito del dueño de la máquina:

• Windows: switch "Gateway" en el panel local (http://127.0.0.1:16500)
• Linux/macOS: sudo superdmz -allow-gateway

Sin esa activación local, cualquier intento de dial no-loopback es rechazado y queda en log como "BLOCKED Gateway dial". Esto te protege incluso si un atacante compromete tu cuenta SuperDMZ — no puede usar tu cliente como proxy para el resto de tu LAN.

Qué se acepta y qué no

El panel solo acepta IPs privadas RFC 1918:

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

Cualquier IP pública es rechazada tanto en el panel como en el cliente — SuperDMZ no puede convertirse en proxy abierto.

Disponibilidad por plan

• Free, Starter — Gateway no disponible
• Pro — hasta 20 túneles-gateway, ámbito /32 (1 IP por túnel)
• Business — hasta 100 túneles-gateway, ámbito hasta /16 (subred entera)