Przekierowywanie portów (czasem nazywane tunelowaniem) jest czynnością polegającą na przekierowywaniu portu sieciowego węzła sieciowego do innego. Technika ta pozwala zewnętrznemu użytkownikowi na dotarcie do portu z prywatnym adresem IPv4 (wewnątrz sieci) z zewnątrz, przez router obsługujący NAT.
Zazwyczaj aplikacje peer-to-peer do wymiany plików oraz usługi takie jak serwer WWW czy FTP, wymagają przekierowywania portów bądź ich otwarcia, aby aplikacje te mogły działać, jak pokazano na rys. 1. Ponieważ NAT ukrywa adresy wewnętrzne, peer-to-peer działa jedynie z wewnątrz na zewnątrz, gdzie NAT może dokonać odwzorowania zapytań wychodzących na przychodzące odpowiedzi.
Problem polega na tym, że NAT nie pozwala na zapytania inicjowane z zewnątrz. Sytuacja ta może zostać rozwiązana ręcznie. Przekierowywanie portów może zostać skonfigurowane tak, aby pewne porty mogły być kierowane do określonych hostów wewnętrznych.
Należy pamiętać, że aplikacje Internetowe wchodzą w interakcję z tymi portami użytkownika, które powinny być otwarte lub dostępne dla tych aplikacji. Różne aplikacje wykorzystują różne porty. Dzięki temu router i aplikacje są w stanie określić usługi sieciowe. Na przykład, HTTP działa przez dobrze znany port 80. Kiedy ktoś wchodzi na adresy strony http://cisco.com , przeglądarka wyświetla stronę Cisco System, Inc. Należy zauważyć, że nie trzeba jawnie określać numeru portu HTTP podczas żądania wyświetlenia strony, ponieważ aplikacja zakłada port 80.
Jeśli wymagany jest inny numer portu, może zostać dołączony do URL po dwukropku (:). Na przykład, jeśli strona WWW nasłuchuje na porcie 8080, użytkownik wpisze http://www.example.com:8080.
Przekierowywanie portów pozwala użytkownikom Internetu na dostęp do serwerów wewnętrznych przez użycie adresu port WAN routera i dopasowanego numeru portu zewnętrznego. Wewnętrzne serwery są zwykle skonfigurowane za pomocą prywatnych adresów IPv4 RFC 1918. Kiedy wysłane zostaje przez Internet zapytanie na adres IPv4 portu WAN, router przekierowuje to zapytanie na właściwy serwer w sieci LAN. Z powodów bezpieczeństwa, routery szerokopasmowe domyślnie nie pozwalają na przekierowywanie żadnych zapytań z sieci zewnętrznych do hostów wewnętrznych.
Rys. 2 przedstawia małego przedsiębiorcę używającego serwer w punkcie handlowym (PoS - Point of Sale) do śledzenia sprzedaży i stanu magazynu w sklepie. Serwer jest dostępny z wewnątrz sklepu, ale ponieważ posiada adres prywatny IPv4, nie jest publicznie dostępny z Internetu. Dzięki uruchomieniu przekierowywania portów na routerze lokalnym, przedsiębiorca może uzyskać dostęp do serwera sprzedaży z dowolnego miejsca w Internecie. Przekierowywanie portów na routerze jest skonfigurowane z wykorzystaniem numery portu docelowego i prywatnego adresu IPv4 serwera w punkcie sprzedaży. Aby uzyskać dostęp do serwera, oprogramowanie klienckie musi użyć publicznego adresu IPv4 routera oraz portu docelowego serwera.