Portforwarding (engl. Portweiterleitung) erlaubt es, Verbindungen über frei wählbare Ports zu Computern innerhalb eines Netzes weiterzuleiten bzw. (im Unterschied zu reinem NAT) diese auch zu initiieren.

Die eingehenden Datenpakete werden hierbei per Destination NAT und die ausgehenden Pakete per Source NAT maskiert, um sie an den anderen Rechner weiterzuleiten bzw. den Anschein zu erwecken, die ausgehenden Pakete kämen von dem Computer, der das Portforwarding betreibt.

Ein Router, der beispielsweise mit einem privaten lokalen Netz und dem Internet verbunden ist, wartet dabei auf einem bestimmten Port auf Datenpakete. Wenn Pakete an diesen Port eintreffen, werden sie an einen bestimmten Computer und evtl. einen anderen Port im internen Netzwerk weitergeleitet. Alle Datenpakete von diesem bestimmten Computer und Port werden, wenn sie zu einer eingehenden Verbindung gehören, per NAT so verändert, dass es im externen Netz den Anschein hat, der Router würde die Pakete versenden.

Durch Portforwarding wird es Rechnern innerhalb eines LAN (welche von einem externen Netz nicht direkt erreichbar sind) somit möglich, auch außerhalb dieses Netzes, so z.B. auch im Internet als Server zu fungieren, da diese somit über einen festgelegten Port (und mittels IP - Masquerading) eindeutig ansprechbar gemacht werden.

Für alle Rechner im externen Netz sieht es so aus, als ob der Router den Serverdienst anbietet. Dass dem nicht so ist, lässt sich anhand von Header - Zeilen oder Paketlaufzeitanalysen erkennen.

Reverse Proxies bieten eine ähnliche Funktionalität wie Portforwarding, sie sind aber noch in der Lage, die Daten zu bearbeiten etc., da sie das Netzwerkprotokoll verstehen, das sie weiterleiten.