Bon j'ai hésité avec la sous-cat sécu...
J'ai donc un NAS qui partage sur du NFSv4 derrière un NAT. Jusque là tout allait bien car il n'était pas adressable directement de l'extérieur. Dans quelques temps il va l'être, et par commodité je compte bien rediriger tous les ports externe du NAT vers lui.
 
Je voudrais conserver un accès au NFS dans le réseau local bien sûr et empêcher tout leak vers l'extérieur.
Je peux me contenter de restreindre à mon réseau 192.168.0.0/24 dans /etc/exports (et donc ne pas me soucier d'ip spoofing, mais je suis pas ultra serein à cette idée , Rassurez-moi si ce n'est pas fondé) ou bien il y a d'autres astuces firewallesques ? Bien sur le NAS n'a qu'une seule interface qui partage réseau local et extérieur, sinon ce serait trop facile    
 
Ou bien vous allez me dire de juste pas rediriger la plage NFS du NAT vers lui ? En écrivant ce post je me rends compte que c'est quand même la meilleure solution, et c'est ce que je vais faire en fait Mais par curiosité et pour pas avoir écrit ce pavé pour rien, je pose quand même la question de l'accès restreint lorsque les ports sont ouverts, si un habitué de NFS pouvait me renseigner ce serait bien sympathique

En effet, mettre l'IP de ton NAS en cible "DMZ" dans ton routeur NAT, c'est pas la meilleure idée du siècle Mieux vaut rediriger au cas par cas uniquement ce qui t'intéresse, à moins que tu ne veuilles créer un honey pot ou bien que tu aies des soucis avec des ouvertures de port dynamiques.

Ça va pas beaucoup t'avancer ton schmilblick sur l'ajustement de config du process NFS, mais dans tous les cas tu peux toujours sécuriser le système avec un iptables qui filtre sur ce qu'il faut en entrée au niveau du port TCP 2049 et va dropper tout ce qu'il n'aime pas avant même que le process NFS ne soit au courant.

Au niveau de ton firewall-NAT, si tu as une gestion claire des règles, tu peux explicitement dropper les connexions TCP 2049 du WAN vers le LAN par exemple, en t'assurant que cette règle est bien appliquée même pour les paquets NATés.
Pour tester, depuis l'extérieur tu fais un simple "telnet ip-publique 2049", ça fera une connexion TCP sur le port en question.

Mon NAT c'est ma freebox V5    
Et c'est pour ça que je veux le mettre en DMZ: ça me pompe de devoir la redémarrer à chaque modification des règles... (Et en plus impossible à distance)
Bon disons que comme je l'ai annoncé, c'est pourtant ce que je vais faire : ouvrir au cas par cas puisque c'est le plus pragmatique, même si c'est chiant.
 
Mais on trouve peu de ressources sur le web sur la sécurisation d'un NFS potentiellement ouvert vers l'extérieur, c'est dommage

Non mais mettre ton NAS en DMZ c'est juste :  
1- de la GROSSE flemme  
2- débile d'un point de vue sécurité  
 
Quel est le mieux d'après toi ?  
A - Ouvrir 1 accès et laisser le reste fermé par défaut  
B - Tout ouvrir par défaut et devoir penser à tous les millions de trucs à verrouiller à côté du seul accès que tu veux laisser ouvert  
 
Je connais pas trop la freebox, mais qu'est-ce qui t'empêche de la redémarrer à distance ? Si c'est une question d'IP source de connexion, arrange toi pour faire un tunnel SSH + proxy web et zou, elle aura l'impression que tu es connecté de l'intérieur.  
 
Pose-toi cette question aussi :  
Des ports, tu en ouvres tous les jours des nouveaux ? Jusqu'à maintenant tu as fait sans ouvrir de port, donc je vois pas l'intérêt de laisser tout ouvert par défaut alors que tu changeras ça tout les 10 ans.  
 
Autre méthode moins crado :  
Freebox en mode bridge (ça existe toujours ?) et un vrai routeur/firewall derrière qui permet de modifier la config NAT & firewall sans tout redémarrer.  
 
Tout ce que je trouve avec NFS ouvert sur l'extérieur annonce que c'est un non-sens et qu'il faut tuer l'admin sys en question  

 
http://serverfault.com/questions/2 [...] nfs-secure

On est d'accord, je trouve ça aussi ultra dégueulasse
Sur la freebox V5 tu peux pas rebooter, y a juste pas d 'API ni bouton sur une quelconque interface, rien du tout, la seule solution c'est couper le jus

Allez, je vais pas faire mon flemmard et me limiter à 22/80/443

Tu peux pas passer en Cristal ou V6 ?

Pas l'envie.