嗨，我来帮你梳理下NFS跨防火墙部署的端口问题，你遇到的情况其实挺常见——虽然理论上NFS v4只需要2049端口，但实际环境里因为配套服务的存在，确实会有额外的动态端口冒出来，咱们一步步拆解清楚：

一、哪些端口需要在防火墙上转发？ #

结合你的rpcinfo输出和NFS v4的实际运行逻辑，必须转发的端口主要有这些：

• NFS核心服务端口：tcp/2049（这是NFS v4的核心端口，不管是挂载请求还是数据传输都依赖它，必须转发）
• mountd（挂载守护进程）端口：哪怕是NFS v4，客户端发起挂载导出目录的请求时还是会用到这个服务，所以它的TCP和UDP端口都需要转发（你的输出里是动态分配的34257、41473这类，后续要改成固定值）
• nlockmgr（锁管理器）端口：负责处理文件锁定，避免多客户端访问时出现数据冲突，它的TCP和UDP端口也必须转发（你的输出里是42915、45607这类动态端口）
• 可选：portmapper（rpcbind）端口tcp/111和udp/111：如果你的环境里只有纯NFS v4客户端，这个端口其实不需要；但如果要兼容NFS v3及以下的旧客户端，就必须转发它，因为旧版本依赖它做服务端口映射

二、如何把动态端口改成静态固定值？ #

不同Linux发行版的配置文件位置略有差异，下面分两种主流情况说明：

1. RHEL/CentOS系列 #

编辑/etc/sysconfig/nfs文件，添加或修改以下配置项（端口号可以自定义，只要不与现有服务冲突就行）：

# 设置mountd的静态端口
MOUNTD_PORT=4001
# 设置nlockmgr的TCP端口
LOCKD_TCPPORT=4002
# 设置nlockmgr的UDP端口
LOCKD_UDPPORT=4003
# 如果需要rpc.statd（状态服务）的静态端口，也可以加上
STATD_PORT=4004

保存后重启相关服务：

systemctl restart nfs-server rpcbind rpc-statd

2. Debian/Ubuntu系列 #

先编辑/etc/default/nfs-kernel-server文件，添加：

# 设置mountd的静态端口
RPCMOUNTDOPTS="--port 4001"

再编辑/etc/default/nfs-common文件：

# 设置nlockmgr的TCP和UDP端口
LOCKD_TCPPORT=4002
LOCKD_UDPPORT=4003
# 设置rpc.statd的静态端口
STATDOPTS="--port 4004"

保存后重启服务：

systemctl restart nfs-server rpcbind rpc-statd

验证配置效果 #

重启服务后，再次执行rpcinfo -p，你会看到mountd、nlockmgr等服务的端口已经变成你设置的静态值了，这时候就可以在防火墙上固定转发这些端口到你的NFS服务器了。

备注：内容来源于stack exchange，提问作者Sunny