Linux服务器配置NFS v4固定端口以便防火墙策略

提到NFSv4，许多人会下意识认为：它只占用一个2049端口，配置防火墙应该很简单。然而在实际部署中，特别是跨防火墙挂载场景下，常会遇到一个令人头疼的错误——clnt_create: RPC: Port mapper failure - Timed out。问题的根源在于：虽然NFSv4协议本身确实仅通过2049端口通信，但Linux系统底层的部分辅助服务仍在“暗度陈仓”。

这些服务，例如 mountd、nlockmgr、rquotad 和 status，默认依然依赖传统RPC机制，在启动时会向 rpcbind（端口111）注册一个随机的高位端口。防火墙策略如果只放行2049和111，根本无法预知这些动态端口，从而导致连接超时。因此，要让NFSv4在防火墙环境下稳定工作，核心思路只有一个：将这些“游兵散勇”的端口全部固定下来。

为什么 NFSv4 还要管 mountd/nlockmgr？

这确实是个容易让人困惑的地方。从协议标准看，NFSv4 旨在简化，但Linux内核的实现为了兼顾兼容性与功能完整性，仍然保留了部分RPC服务：

• mountd：处理 showmount -e、exportfs 命令，并且在客户端未明确指定 nfsvers=4 时参与挂载协商。
• nlockmgr（由 lockd 内核模块实现）：文件锁服务。尽管NFSv4原生支持锁操作，但 lockd 模块仍可能被加载并尝试注册服务，如果放任不管，它就会占用随机端口。
• rquotad：磁盘配额查询服务。只有当导出的文件系统启用了配额（quota）功能时才会被调用。
• status（即 rpc.statd）：网络状态监控，主要用于崩溃恢复（crash recovery）。在NFSv4中其作用已弱化，但进程依然存在。

只要上述任何一个服务注册了非预期的随机端口，使用 rpcinfo -p 命令查看时，就会看到一堆浮动端口号，之前精心配置的防火墙规则也就形同虚设了。

/etc/sysconfig/nfs 是核心配置入口

在RHEL、CentOS、Fedora等系列发行版中，/etc/sysconfig/nfs 是控制NFS服务端行为的关键配置文件。Ubuntu或Debian用户需要确认是否已安装 nfs-utils 包以及该文件是否存在，必要时可以手动创建。

配置的核心，在于显式声明所有辅助服务的端口变量。以下是一组示例配置，你可以根据实际环境调整端口号：

RQUOTAD_PORT=30001
LOCKD_TCPPORT=30002
LOCKD_UDPPORT=30002
MOUNTD_PORT=30003
STATD_PORT=30004

这里有两点需要特别留意：

1. LOCKD_TCPPORT 和 LOCKD_UDPPORT 的端口号必须设置为相同的值，否则 rpcbind 可能会为TCP和UDP协议分配不同端口，反而增加复杂度。
2. 端口号建议选择1024以上的非特权端口，并避开已知的常用服务端口。示例中使用的 30000–30010 区间通常比较安全。

lockd 模块参数必须单独注入

这是最容易遗漏的一步，也是配置失败最常见的“坑”。仅仅在 /etc/sysconfig/nfs 中设置 LOCKD_TCPPORT 是不够的，因为内核模块 lockd 读取的是模块参数，而非系统环境变量。

必须额外创建或编辑模块配置文件：

# 创建或编辑配置文件
vim /etc/modprobe.d/lockd.conf

# 写入以下两行内容
options lockd nlm_tcpport=30002
options lockd nlm_udpport=30002

如果缺少这一步，即使重启NFS服务，通过 rpcinfo -p 查看，nlockmgr 服务很可能仍然显示为随机端口。这个问题在CentOS 7/8、RHEL 8+等系统中尤为常见，而且系统通常不会给出任何错误提示。

firewalld 或 iptables 规则必须覆盖全部端口段

所有端口固定好后，防火墙规则需要同步更新，覆盖所有必要的端口。以RHEL/CentOS 7+默认的firewalld为例：

# 1. 开放基础必需端口
firewall-cmd --permanent --add-port=111/tcp
firewall-cmd --permanent --add-port=111/udp
firewall-cmd --permanent --add-port=2049/tcp
firewall-cmd --permanent --add-port=2049/udp

# 2. 开放我们固定的辅助服务端口段（根据上面配置的30001-30004）
firewall-cmd --permanent --add-port=30001-30004/tcp
firewall-cmd --permanent --add-port=30001-30004/udp

# 3. 重载配置使其生效
firewall-cmd --reload

如果使用的是传统的iptables，规则也需对应调整，例如：iptables -A INPUT -p tcp --dport 30001:30004 -j ACCEPT。

这里有一个至关重要的提醒：千万别忘了放行 rpcbind 服务的端口（默认111/TCP/UDP）。它是所有RPC服务的“登记处”，客户端首先通过它查询其他服务（如mountd）的实际端口。如果111端口被阻断，后续所有连接都无法建立。

最后，如何验证配置是否真正生效？执行 rpcinfo -p 命令，检查输出中 mountd、nlockmgr、rquotad、status 这几个服务对应的“port”列，是否都稳定地显示为你设定的固定端口号（如30001-30004），而不再是5万以上的随机端口。整个配置过程中，/etc/modprobe.d/lockd.conf 的模块参数和防火墙对 rpcbind (111) 端口的放行，是最容易被忽略的两个环节，任何一个遗漏都会导致前功尽弃。