NFS client filtering utilizza la politica request-response, infatti il client NFS manda un richiesta RPC al server NFS ed esso risponderà in un secondo momento inviando indietro il dato precedentemente richiesto. La politica request-response deve permettere ad un utente fuori della LAN, con i diritti di fare un NFS mount da un NFS server esterno al firewall, di eseguire l'operazione di mount in modo trasparente. Come con un TCP, la politica request-response per un NFS viene realizzata tramite un filtro che non lascia passare i falsi pacchetti di risposta. Attualmente il processo di mount NFS richiede un dialogo iniziale con il demone di mount per ottenere un file-handle. Il demone di mount viene localizzato attraverso una richiesta RPC sul remote server portmapper. Per evitare problemi con UDP port mapping, viene spesso utilizzata una utility di mount modificata che permette la transazione RPC su TCP piuttosto che su UDP. I moderni client e server NFS sono configurati per funzionare su TCP, aumentando in questo modo la sicurezza della tecnica request-response. Sfortunatamente se le workstation hanno un sistema Unix con una implementazione NFS interna al kernel, la modifica di tale kernel per spostare le transazioni su TCP andrebbe a compromettere la facilità di installazzione del firewall, qualità essenziale per un'ottima politica di sicurezza.