A port továbbítás (port forwarding, néha alagutazás) az a tevékenység, amelynek során egy hálózati portot továbbítunk egyik hálózati csomópontról a másikra. Ez a technika lehetővé teszi egy külső felhasználó számára, hogy kívülről érhessen el egy privát IPv4-címen (belső LAN-on) lévő portot, egy NAT-képes forgalomirányítón keresztül.
A P2P fájlmegosztó programok és olyan műveletek, mint például a webszolgáltatás, valamint a kimenő FTP, általában megkövetelik, hogy a forgalomirányító portjait továbbítsuk vagy megnyissuk ezen alkalmazások működése érdekében, ahogy az 1. ábra mutatja. Mivel a NAT elrejti a belső címeket, a P2P csak ott működik belülről kifelé, ahol a NAT le tudja képezni a kimenő kérésekre beérkező válaszokat.
A probléma az, hogy a NAT nem teszi lehetővé kérések kívülről jövő kezdeményezését. Ezt a helyzetet kézi beavatkozással lehet megoldani. A port továbbítást be lehet úgy állítani, hogy meghatározzuk azokat az adott portokat, amelyek továbbíthatók a belső állomások felé.
Emlékezzünk vissza, hogy az internetes szoftveralkalmazások felhasználói portokkal kommunikálnak. A portoknak nyitva vagy elérhetőnek kell lenniük ezen alkalmazások számára. A különböző alkalmazások különböző portokat használnak. Ez kiszámíthatóvá teszi az alkalmazások és a forgalomirányítók számára a hálózati szolgáltatások azonosítását. A HTTP például a jól ismert 80-as porton keresztül működik. Ha valaki beírja a http://cisco.com címet, a böngésző megjeleníti a Cisco Systems Inc. honlapját. Figyeljük meg, hogy nem kell megadni a HTTP portszámát a lap lekéréséhez, mert az alkalmazás feltételezi, hogy az a 80-as port!
Amennyiben egy másik portszámot kellene megadni, akkor azt kettősponttal (:) elválasztva csatolni kell az URL-hez. Ha a webszerver például a 8080-as porton figyel, akkor a felhasználónak a következőt kell begépelni: http://www.example.com:8080.
A port továbbítás lehetővé teszi az interneten lévő felhasználók számára, hogy hozzáférjenek a belső szerverekhez a forgalomirányító WAN-portcíme és a megfelelő külső portszám segítségével. A belső szervereket általában az RFC 1918 privát IPv4-címekkel konfigurálják. Amikor egy kérés érkezik a WAN-port IPv4-címére az interneten keresztül, a forgalomirányító továbbítja a kérést a megfelelő szerverhez a LAN-on. Biztonsági okokból a szélessávú forgalomirányítók alapértelmezés szerint nem engedélyezik külső hálózati kérések továbbítását a belső állomásokhoz.
A 2. ábra egy kis üzlet tulajdonosát mutatja egy értékesítési (Point of Sale, POS) szerverrel, hogy a boltban nyomon kövesse az értékesítést és a készletet. A szerver elérhető a bolton belül, viszont mivel privát IPv4-címe van, nyilvánosan nem érhető el az interneten. A port továbbítás engedélyezése a helyi forgalomirányítón lehetővé teszi, hogy a tulajdonos bárhonnan az internetről elérje az értékesítési szervert. A port továbbítást a forgalomirányítón a célport számának és az értékesítési szerver privát IPv4-címének felhasználásával állítjuk be. A szerverhez való hozzáféréskor a kliens-oldali szoftver a forgalomirányító nyilvános IPv4-címét és a szerver portszámát használja.