O comando é
ip nat inside source static <internal address> <public address>
para NAT o IP inteiro, ou
ip nat inside source static tcp <internal address> <port> <public address> <port>
ip nat inside source static udp <internal address> <port> <public address> <port>
Para portas udp ou tcp específicas.
Então você precisa ter uma lista de acesso na interface externa que permita o acesso à porta no endereço público .
Além disso, verifique se você tem ip nat inside na interface interna e ip nat outside na interface externa
Atualização 1
A lista de acesso vinculada à interface externa precisa incluir uma regra para permitir a conexão de entrada. Vamos dizer que você tem porta 80 é a porta que você deseja encaminhar. Vamos dizer também que Dialer0 é sua interface externa e FastEthernet0 é seu interior, e 10.1.1.1 é o endereço IP interno:
interface FastEthernet 0
ip nat inside
!
interface Dialer 0
ip nat outside
ip access-group outside-in in
!
ip nat inside source static tcp 10.1.1.1 80 interface Dialer0 80
ip access-list extended outside-in
permit tcp any any eq 80
deny ip any any
Note que com este exemplo, eu limitei o NAT à interface Dialer0 para que não precisássemos codificar o endereço IP na configuração - ele levará qualquer endereço que a interface D0 tiver como endereço público. / p>
Observe também que o comando de permissão na lista de acesso permite acesso a qualquer IP na porta 80. Use este método somente se o roteador não rotear outros endereços além daquele usado para a interface externa. Caso contrário, codificar host <ip address> onde o endereço IP é o da interface externa no lugar do segundo "qualquer"