LinuxNFSv4固定端口设置教程

NFSv4虽宣称仅需2049端口，但在Linux内核实际实现中，mountd、nlockmgr、rquotad和status等关键辅助服务仍依赖RPC机制并默认注册随机端口，导致防火墙策略失效、挂载超时失败；本文直击运维痛点，详解如何通过统一配置`/etc/sysconfig/nfs`固定各服务端口、强制注入`/etc/modprobe.d/lockd.conf`模块参数以真正约束lockd行为，并强调必须同步放行rpcbind（111）及全部自定义端口——每一步都对应真实排障场景，漏掉任一环节（尤其是lockd参数或rpcbind）都会让配置前功尽弃，助你彻底告别`Port mapper failure`，实现安全、稳定、可审计的NFSv4生产部署。

NFS v4 默认只用 2049 端口（TCP/UDP），但实际运行中仍会动态拉起 nlockmgr、mountd、rquotad、status 等辅助服务，它们默认向 rpcbind 注册随机端口——防火墙无法稳定放行，挂载常卡在 clnt_create: RPC: Port mapper failure - Timed out。必须显式固定这些端口才能落地策略。

为什么 NFSv4 还要管 mountd/nlockmgr？

NFSv4 协议本身确实只走 2049，但 Linux 内核实现中以下组件仍依赖 RPC 机制，且默认不被 v4 完全绕过：

• mountd：处理 showmount -e、exportfs 和部分 v4 的挂载协商（尤其当客户端未严格指定 nfsvers=4）
• nlockmgr（nlm）：文件锁服务，v4 原生支持锁，但内核模块 lockd 仍可能被加载并尝试注册；若未禁用，它会抢注随机端口并干扰防火墙
• rquotad：配额查询服务，若导出目录启用了 quota，它会被调用
• status（rpc.statd）：网络状态监控，用于 crash recovery，v4 下虽弱化但仍存在

只要其中任一服务注册了非预期端口，rpcinfo -p 就会显示一堆浮动端口，防火墙规则就失效。

/etc/sysconfig/nfs 是核心配置入口

该文件是 RHEL/CentOS/Fedora 系的 NFS 主控配置点，Ubuntu/Debian 用户需先确认是否安装了 nfs-utils 并存在此路径（否则手动创建）。关键变量必须全部显式声明：

• RQUOTAD_PORT=30001
• LOCKD_TCPPORT=30002
• LOCKD_UDPPORT=30002
• MOUNTD_PORT=30003
• STATD_PORT=30004

注意：LOCKD_TCPPORT 和 LOCKD_UDPPORT 必须相同，否则 rpcbind 会为 TCP/UDP 分配不同端口；端口号建议避开 1024 以下（需 root 权限）和已知冲突端口（如 30000–30010 段较安全）。

lockd 模块参数必须单独注入

仅设 LOCKD_TCPPORT 不足以让内核模块 lockd 生效——它读取的是内核模块参数，不是环境变量。需额外创建配置文件：

• 新建 /etc/modprobe.d/lockd.conf
• 写入两行：
  options lockd nlm_tcpport=30002
options lockd nlm_udpport=30002

否则重启后 rpcinfo -p 中 nlockmgr 仍显示随机端口（常见于 CentOS 7/8、RHEL 8+）。这个步骤容易漏，且无报错提示。

firewalld 或 iptables 规则必须覆盖全部端口段

固定端口后，防火墙不能只开 2049。以 firewalld 为例（RHEL/CentOS 7+ 默认）：

• 开放基础端口：
  firewall-cmd --permanent --add-port=111/tcp
firewall-cmd --permanent --add-port=111/udp
firewall-cmd --permanent --add-port=2049/tcp
firewall-cmd --permanent --add-port=2049/udp
• 开放固定辅助端口（按上文示例）：
  firewall-cmd --permanent --add-port=30001-30004/tcp
firewall-cmd --permanent --add-port=30001-30004/udp
• 重载：
  firewall-cmd --reload

iptables 用户请用 -A INPUT -p tcp --dport 30001:30004 -j ACCEPT 类似写法；**别忘了 rpcbind（111）端口，它是所有 RPC 服务的入口，没它，mountd 等服务根本无法被发现。**

NFS 固定端口真正生效的标志是 rpcinfo -p 输出中所有辅助服务（mountd、nlockmgr、rquotad、status）的 port 列都稳定为你设定的数值，且不再出现 50000+ 随机端口。最易忽略的是 lockd.conf 模块参数和 rpcbind 本身的端口放行——这两处一漏，整个配置就白调。

到这里，我们也就讲完了《LinuxNFSv4固定端口设置教程》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！