O rpcbind é necessário para mapear o serviço RPC para o endereço e porta da rede (ler TCP ou UDP). As versões 2 e 3 do NFS exigem um serviço adicional mountd para permitir que os clientes obtenham o identificador de arquivo inicial. Embora o nfs tenha um número de porta 2049 bem conhecido, o mountd não possui. IOW, se você quiser usar o NFSv3, precisará executar o rpcbind (bem, provavelmente há algumas opções de montagem para dizer onde o mound está sendo executado). Ao contrário da v3, o NFSv4 requer apenas uma única porta 2049 e não precisa de montagem nenhuma. Isso torna a configuração do NFS livre de rpcbind possível. Apenas esteja ciente de que alguns (antigos) clientes podem ainda tentar conversar com o rpcbind mesmo para a v4.
Agora, sobre o rpcbind. Por que você quer protegê-lo? Se não estiver disponível para os clientes, eles não podem montar? A única razão para proteger é limitar o número de clientes que podem fazer atualizações. Mas isso já está em vigor, pois o rpcbind usa o soquete de domínio unix e não permite que qualquer cliente remoto execute atualizações. Mesmo em um host local, você precisa ser root para isso. Se você quer proteger apenas de alguns clientes, então o iptables é seu amigo (ou o que o seu sistema operacional tem de firewall):
# iptables -A INPUT -s 10.1.2.0/24 -p tcp --dport 111 -j ACCEPT
# iptables -A INPUT -s 10.1.3.0/24 -p udp --dport 111 -j ACCEPT
# iptables -A INPUT -p tcp --dport 111 -j DROP
# iptables -A INPUT -p udp --dport 111 -j DROP