NFSクライアントの送信元ポート番号は実装による。普通は固定しない。
1024以下の番号を利用する事が多い。(UNIXの世界では1024以下はrootというお決まりなので)

ファイヤーウォールの設定を SrcPort 1-1024 DstPort 111,2049 と
status lockmgr mountd が使うポートを開放してもらえばよろしい。

ネットワーク管理者からすると、暗号化もされてない通信路でファイヤーウォール越しに
NFSなんてふざけてる奴だ、こう言っておけば諦めるだろうという意図だろう。
どうしてもやりたいなら VPN してやれや。