Si riferisce alle porte aperte sul router per connessioni VERSO l'interno. Se tu nella rete interna per esempio hai un server web che vuoi far vedere all'esterno devi fare in modo che quando arriva una richiesta sul router verso la porta 80 questo la ridirezioni automaticamente verso il PC della rete intena adibito ad ospitare le tue pagine web. Sul router si deve quindi mappare staticamente in ingresso la porta 80.
Se non fai questo il router non sa cosa faree blocca la richiesta.

Diverso invece quando è un PC della rete interna a fare la prima richiesta verso l'esterno perchè il Router-NAT memorizza in una tabella interna IP e porta del PC che richiedente e poi trasla l'indirizzo e/o la porta in quelli pubblici con cui si collega a internet. In questo modo esiste una relazione dinamica tra i collegamenti. Quando arriva la risposta il router tramite la sua tabella interna conosce chi aveva fatto la richiesta e redireziona nuovamente i dati verso tale PC.