לכל המחשבים וההתקנים המחוברים לאינטרנט יש כתובת פרוטוקול אינטרנט. כתובת IP זו מזהה כל חיבור על מנת להפנות תנועה ליעד הנכון. כאשר משתמש מחבר התקני אינטרנט מרובים באותו שירות אינטרנט, עם זאת, התנגשות בכתובות IP בדרך כלל תמנע כיוון אות נכון. כדי להקל על הבעיה, הנתבים משתמשים בתרגום כתובות רשת כדי לשלוח ולקבל כראוי נתונים.
כתובת IP מקומית
כאשר מחשבים מתחברים דרך נתב, הנתב מקצה לכל אחד מהם כתובת IP מקומית. שלא כמו כתובות IP גלובליות, כתובות מקומיות אלה קיימות רק ברשת המקומית. מחשבים מקומיים יכולים ליצור קשר זה עם זה באמצעותם, והנתב משתמש בהם כדי לזהות כל אחד מהם בנפרד. בינתיים הנתב עצמו מתחבר לאינטרנט עם כתובת IP רחבה באינטרנט, ומאפשר לו לגלוש באינטרנט וליצור קשר עם מחשבים אחרים באינטרנט.
ניתוב מנות
כאשר מחשב ברשת מקומית מבקש נתונים מהאינטרנט, הבקשה נכנסת לראשונה לנתב. הנתב מזהה איזה מחשב מקומי מבקש את הנתונים ואז שולח את הבקשה דרך האינטרנט. השרת המרוחק ששולח את הנתונים יודע רק את כתובת ה- IP של הנתב, ולכן מחזיר את חבילות הנתונים המבוקשות לנתב. כאשר הנתב מקבל אותם, הוא משתמש ב- NAT כדי להתאים את הנתונים לבקשה היוצאת ומתרגם את כתובת היעד מ- IP משלו ל- IP המקומי של המחשב הנכון.
אפקט חומת האש
חומת אש של חומרה מיירטת את כל הנתונים הנכנסים מהאינטרנט, ומסננת ניסיונות פריצה. אמנם לנתב אין את רמת הסינון הזו, אך הוא למעשה משמש כפיירוול פשוט בגלל NAT. כאשר אות מגיע לנתב, עליו להחליט לאיזה מחשב מקומי להעביר אותו. אם הוא לא מזהה את האות הזה כמתבקש על ידי מחשב מקומי כלשהו, הוא מבטל אותו. זה חוסם את האיומים הפשוטים ביותר, אם כי זה לא מתאים לשרתים ארגוניים עם נתונים רגישים.
העברת נמל
בגלל אפקט חומת האש במהלך NAT, חלק מהחבילות הלגיטימיות מבוטלות גם כן. יישומי אינטרנט מסוימים, כגון משחקים רבים ושירותי שיתוף עמית לעמית, מסתמכים על נתונים מרוחקים שנשלחים ללא בקשה ישירה. בדרך כלל, נתבים מתעלמים מנתונים אלה, ולא יודעים לאן לשלוח אותם. משתמשים יכולים לעקוף זאת על ידי הגדרת העברת יציאות בהגדרות הנתבים שלהם. העברת יציאות מכוונת את הנתב לשלוח את כל הנתונים שמגיעים דרך יציאות אינטרנט שצוינו למחשבים מסוימים, גם אם הנתונים הללו לא התבקשו באופן מקומי.