La redirection (parfois appelée transmission tunnel) consiste à transférer un port réseau d'un nœud réseau à un autre. Cette technique permet à un utilisateur externe d'atteindre un port sur une adresse IPv4 privée (dans un réseau local) à partir de l'extérieur, via un routeur configuré pour la NAT.

En règle générale, les programmes et opérations de partage de fichiers peer to peer, tels que les services Web et le FTP sortant, exigent que les ports du routeur soient redirigés ou ouverts pour que ces applications puissent fonctionner (voir Figure 1). La NAT masquant les adresses internes, l'opération peer to peer ne fonctionne que de l'intérieur vers l'extérieur, car la NAT peut mapper les requêtes sortantes avec les réponses entrantes.

Le problème est que la NAT n'autorise pas les requêtes provenant de l'extérieur. Ce problème peut être résolu par une intervention manuelle. La redirection de port peut être configurée pour identifier des ports spécifiques pouvant être redirigés vers des hôtes internes.

Rappelez-vous que les applications Internet interagissent avec des ports utilisateur qui doivent être ouverts ou à la disposition de ces applications. Les applications utilisent des ports différents. Cela permet aux applications et aux routeurs d'identifier les services réseau de manière prévisible. Par exemple, HTTP fonctionne sur le port réservé 80. Lorsque quelqu'un saisit l'adresse http://cisco.com, le navigateur affiche le site Web de Cisco Systems, Inc. Notez qu'il n'est pas nécessaire de préciser le numéro de port HTTP pour demander la page, car l'application suppose qu'il s'agit du port 80.

Si un autre numéro de port est requis, il peut être ajouté à la fin de l'URL après le signe deux-points (:). Par exemple, si le serveur Web écoute le port 8080, l'utilisateur saisit http://www.example.com:8080.

La redirection permet aux utilisateurs sur Internet d'accéder aux serveurs internes à l'aide de l'adresse du port WAN du routeur et du numéro de port externe correspondant. Les serveurs internes sont généralement configurés avec des adresses IPv4 privées de l'espace RFC 1918. Lorsqu'une requête est envoyée à l'adresse IPv4 du port WAN via Internet, le routeur transfère la demande au serveur approprié sur le réseau local. Pour des raisons de sécurité, les routeurs à large bande n'autorisent pas par défaut le transfert d'une requête réseau externe vers un hôte interne.

Sur la Figure 2, le gérant d'une petite entreprise utilise un serveur de point de vente (PoS) pour suivre les ventes et le stock dans le magasin. Le serveur est accessible dans le magasin, mais comme il ne possède pas d'adresse IPv4 privée, il n'est pas accessible publiquement sur Internet. L'activation de la redirection sur le routeur local permet au gérant d'accéder au serveur de point de vente en tout lieu à partir d'Internet. La redirection sur le routeur est configurée avec le numéro de port de destination et l'adresse IPv4 privée du serveur de point de vente. Pour accéder au serveur, le logiciel client utilise l'adresse IPv4 publique du routeur et le port de destination du serveur.