Docker 容器无法访问宿主机-iptables拦截

原创 已于 2024-11-13 11:43:51 修改 · 1.3k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #运维

于 2024-11-04 17:36:10 首次发布

问题描述

Docker 容器内部可以ping得通宿主机,但是访问不了宿主机的端口。

注意:

文中所描述的只是“Docker 容器无法访问宿主机”的众多情况中的一种,仅供大家参考。

测试环境

宿主机IP地址:192.168.0.100

Docker 容器网关(docker0网卡)地址:172.17.0.1

容器1 IP地址:172.17.0.2

容器2 IP地址:172.17.0.3

容器2 对外映射了5000端口用于提供http服务,服务运行正常。

容器都是采用桥接模式。

 具体操作

使用pingcurltelnet测试网络情况,如果命令不存在,可参考以下命令进行安装。

# 安装ping 和 telnet 用于测试
sudo apt-get update
sudo apt-get install telnet
sudo apt-get install inetutils-ping

 在容器1内部ping得通宿主机,但是访问不了宿主机的5000端口。

[root@宿主机 ~]# sudo docker exec -it 容器1 ping 192.168.0.100
PING 192.168.0.100 (192.168.0.100) 56(84) bytes of data.
64 bytes from 192.168.0.100: icmp_seq=1 ttl=64 time=0.198 ms
64 bytes from 192.168.0.100: icmp_seq=2 ttl=64 time=0.120 ms
64 bytes from 192.168.0.100: icmp_seq=3 ttl=64 time=0.109 ms
64 bytes from 192.168.0.100: icmp_seq=4 ttl=64 time=0.125 ms

[root@宿主机 ~]# sudo docker exec -it 容器1 curl http://192.168.0.100:5000/
curl: (7) Failed to connect to 192.168.0.100 port 5000: No route to host

原因说明

Docker 容器在访问宿主机时,被宿主机的iptables拦截。

处理思路

在iptables的INPUT链中添加放行规则。

注意:Docker 容器间的访问,最好是用容器内部地址或容器名称去访问。

firewalld 配置示例:

# 其中 172.17.0.0/24 为docker容器所在的网段
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="172.17.0.0/24" port protocol="tcp" port="5000" accept'
sudo firewall-cmd --reload

iptables.service 配置示例:

sudo iptables -I INPUT -s 172.17.0.0/24  -d 172.17.0.0/24 -p tcp --dport 5000 -j ACCEPT
# 保存规则
sudo service iptables save

为了安全,端口的开放范围越小越好,比如只对指定的IP开放端口的访问。

简述Docker容器不能访问外网是什么情况 ? ?
weixin_39291964的博客
07-24 43
Docker容器无法访问外网的常见原因及解决方案:1)网络配置错误,需开启IP转发并重启Docker服务;2)DNS解析失败,可手动指定DNS服务器;3)防火墙/iptables拦截,需放行Docker流量;4)网络模式不当,可切换host模式或重建网络。排查步骤包括:验证宿主机网络、测试容器连通性、检查关键配置和防火墙状态。多数问题通过修复NAT、DNS或防火墙规则即可解决。
Docker容器访问宿主机网络
m0_52647839的博客
04-27 974
来源于的《从Docker容器访问宿主机网络》在使用Docker部署应用时,Docker推荐的方式是将应用及其所依赖的服务(MySQL,Redis等)均使用Docker部署,并通过link或自定义网络相连接。但是,当应用所依赖的服务被安装在宿主机上时,我们需要让容器中的应用能够访问到部署在宿主机上的服务。Docker提供的常见网络类型。
docker容器无法访问宿主机端口的解决
01-08
最近在工作时遇到一个问题,docker容器无法访问宿主机的redis,telent6379端口不通。 经排查发现,该服务器启用了防火墙,防火墙把6379的端口的访问授权给docker0网卡访问即可。 操作如下: firewall-cmd –permanent –zone=trusted –change-interface=docker0 firewall-cmd –reload 补充知识:docker 启动mysql 容器出错Ports are not available: listen tcp 0.0.0.0:3306 错误截图如下 该错误是由于本地3306端口被占用,很可能是本地已经
如何在Docker访问宿主机的ip?
最新发布
qq_45882986的博客
06-29 615
Docker容器内Java程序访问宿主机MySQL的方法:由于Docker容器网络隔离,localhost指向容器自身而非宿主机。解决方案是使用宿主机真实IP(通过ipconfig获取)替代localhost,即Java程序应连接宿主机IP:3307而非localhost:3307。这样容器内部程序就能通过宿主机IP访问外部服务,突破网络隔离限制。该方法同样适用于容器访问宿主机其他服务的情况。
docker 容器无法通过 IP 访问宿主机
shihan175的博客
07-12 5774
原因:这是因为项目与服务都是通过docker容器运行的,而docker 容器无法通过 IP 访问宿主机(貌似高版本解决了这个问题),所以导致部署到同一机器后出现问题。问题:一次部署项目过程中,将Java项目与中间件服务部署在同一远程机器上,出现连接不上中间件服务的问题,而项目在本地运行时是可以连接的,没有问题。也可以通过在容器运行时 加参数--net=host,这个命令让容器宿主机共享网络命名空间,这样容器就可以直接使用宿主机的IP地址进行访问。解决:Docker社区有提过该问题已被解决,
docker不能访问宿主机
aidway的专栏
02-27 1272
docker不能访问宿主机
docker容器无法访问宿主机服务
人望山丶鱼窥荷的博客
05-08 848
上文:新申请的服务器(centos7,防火墙关闭中)安装了最新的docker(20.10.6),然后容器内部无法访问宿主机部署的服务 解决方法: 启动防火墙 sudo systemctl start firewalld.servic 把docker0网卡加入trusted sudo firewall-cmd --permanent --zone=trusted --change-interface=docker0 重新加载配置 sudo firewall-cmd --reload
详解如何解决docker容器无法通过IP访问宿主机问题
01-10
问题起源 在使用 docker 的过程中我不幸需要在 docker 容器访问宿主机的 80 端口, 而这个 80 端口是另外一个容器 8080 端口映射出去的. 当我在容器里通过 docker 的网桥 172.17.0.1 访问宿主机时, 居然发现: curl: (7) Failed to connect to 172.17.0.1 port 80: No route to host 查找问题原因 可以确定的是容器宿主机是有网络连接的, 因为可以在容器内部通过 172.17.0.1 Ping 通宿主机: root@930d07576eef:/# ping 172.17.0.1 P
iptables限制docker端口禁止某台主机访问(使用DOCKER链和raw表的PREROUTING链)
qq_42249813的博客
10-28 1306
两种方法使用iptables拦截筛选docker映射出来的端口
iptables限制宿主机Docker IP和端口访问(安全整改)
m0_66406345的博客
04-05 3071
您可以结合使用-s或--src-range与-d或--dst-range一起控制连续源地址和连续目标地址。经查阅大量资料,发现Docker容器创建时会自动创建iptables策略,Docker使用的i规则链是DOCKER-USER,所以需使用iptablesDOCKER-USER链做限制。#注意拒绝其他所有IP地址进行访问,此规则因该在其他规则之前执行,以确保其生效。整改:对端口做限制,只允许平台服务器的网段对该端口进行访问,其余都拒绝。,请在DOCKER-USER过滤器链的顶部插入一个否定的规则。
如何在CentOS7上使用防火墙保护Docker容器的端口
Arvin Rong's Space
02-13 2355
在主机或虚机上运行Docker容器时,即便主机启用了firewalld服务,仍然存在一些安全隐患,尤其是当Docker容器内打开端口并监听0.0.0.0时,存在即使通过firewall-cmd配置了阻止某些端口被外部访问也不生效的问题,firewall-cmd配置阻止的端口实际测试下来还是公开并对所有请求开放的。我测试的场景:在CentOS 7.9上安装了Docker版本20.10.17,并运行了一个Docker容器,该容器在3000端口上打开并监听0.0.0.0。我通过。
了解docker网络通信原理
xq123joes的博客
07-16 1139
探究docker网络工作原理,尝试复现docker网络实现逻辑
docker容器无法连接宿主机mysql排查
KyLen_Mou的博客
10-23 1091
docker容器内,需要访问当前docker容器的网关,例如172.xx.0.1,即可访问宿主机,因此需要保证docker的网络配置正确。显示如下,找到Gataway即可,如果没有Gataway,需要自行配置一下docker网络。确保mysql允许宿主机的ip访问,可参考。首先确保端口正确,默认3306端口。
docker容器启动后无法访问宿主机host
weixin_43831997的博客
03-12 7076
项目场景: 项目相关背景: java项目,SpringCloud框架,Consul注册中心。 Consul注册中心部署在服务器物理机了,其中在增加了 host配置 127.0.0.1 consul,也就是说consul:8500就可以访问。 SpringCloud项目yml配置文件中的注册中心host配置的是 consul。 环境:centos服务器,docker部署。 问题描述 项目中遇到的问题: 前奏工作已准备好(打包),在启动容器时,发现启动失败,原因是java服务启动时无法连接到注册中心,也就是在
容器内部无法访问宿主机服务的原因及解决方法
Ven%的博客
04-23 811
当你在Docker容器内部尝试访问宿主机上的服务(如127.0.0.1。
docker容器无法访问宿主机-No route to host
zhuchunyan_aijia的博客
08-14 2508
原因分析 本文中在centos上部署docker容器,其网络模式采用的是bridger模式。 启动docker时,docker进程会创建一个名为docker0的虚拟网桥,用于宿主机容器之间的通信。当启动一个docker容器时,docker容器将会附加到虚拟网桥上,容器内的报文通过docker0向外转发。 如果docker容器访问宿主机,那么docker0网桥将报文直接转发到本机,报文的源地...
docker不能访问宿主机端口解决办法
wangyue123com的专栏
12-01 8744
一、首先查看宿主机端口 #一般宿主机ip为容器网络层的网关gateway,查询一下,其中nginx为容器名称,可以为使用容器id,容器id可以docker ps查看 docker inspect nginx --format {{.NetworkSettings.Gateway}} #结果就是网关,宿主机ip [root@VM-0-7-centos vhost]# docker inspect nginx --format {{.NetworkSettings.Gateway}} 172.17.0.1 二
启动docker容器之后,为什么访问页面访问不到
04-04
<think>嗯,用户启动Docker容器访问不到页面,这个问题可能有多种原因。首先,我需要回忆一下Docker网络相关的基础知识。当容器运行时,如果服务绑定在容器内部的localhost(127.0.0.1),那么外部是无法访问的,因为localhost指的是容器本身,而不是宿主机的网络。这时候需要确认应用是否绑定到了0.0.0.0,这样服务才能监听所有接口,允许外部连接。 接下来,端口映射是否正确也是个关键点。用户可能在运行容器时使用了-p参数,但有没有正确指定宿主端口和容器端口呢?例如,-p 8080:80是将宿主机的8080端口映射到容器的80端口。如果这里配置错误,比如宿主端口写错或者容器端口不对,自然无法访问。 然后,防火墙或安全组的问题也不能忽视。即使Docker正确映射了端口,宿主机的防火墙设置可能会阻止外部访问。需要检查iptables、ufw或者云服务提供商的安全组规则,确保相应端口是开放的。 另外,容器内部的应用是否真的在运行呢?有时候容器虽然启动了,但应用可能因为配置错误、依赖缺失等问题而崩溃。这时候可以通过docker logs查看容器的日志,确认应用是否正常启动,有没有报错信息。 还有Docker的网络模式。如果容器使用了host网络模式,端口可能会直接绑定到宿主机,但其他模式如bridge可能需要正确的端口映射。另外,多个容器之间的网络通信是否受阻,比如是否在同一个自定义网络中,或者是否有网络策略限制。 用户的浏览器缓存或者本地DNS问题也可能导致无法访问,尝试使用curl或者wget测试,排除浏览器的问题。同时,检查宿主机能否访问容器端口,比如在宿主机上执行curl localhost:宿主机端口,看看是否有响应。 最后,如果以上都确认无误,可能需要更深入的排查,比如Docker守护进程的状态,或者宿主机的网络配置是否存在异常。这时候可能需要查看Docker的详细日志或者系统的网络状态来进一步诊断。</think>当Docker容器启动后无法访问页面时,可能涉及以下原因及排查步骤: --- ### 一、基础原因排查 #### 1. **应用未监听0.0.0.0** - **现象**:容器内应用仅绑定到`127.0.0.1`(本地回环地址)。 - **验证方法**:进入容器检查应用监听地址: ```bash docker exec -it 容器名 bash netstat -tuln | grep 端口号 ``` - **解决**:修改应用配置,使其绑定到`0.0.0.0`。 #### 2. **端口映射错误** - **现象**:宿主机端口未正确映射到容器端口。 - **验证方法**:检查容器端口映射: ```bash docker ps --format "table {{.Names}}\t{{.Ports}}" ``` - **解决**:启动容器时确保使用`-p 宿主机端口:容器端口`,例如: ```bash docker run -d -p 8080:80 nginx ``` #### 3. **防火墙或安全组拦截** - **现象**:宿主机防火墙或云服务器安全组阻止访问- **验证方法**: - 本地测试:`curl localhost:宿主机端口` - 外部测试:从另一台机器访问`宿主IP:端口` - **解决**: - 关闭防火墙(临时):`systemctl stop firewalld`(CentOS)或 `ufw disable`(Ubuntu)。 - 云服务器需配置安全组放行端口。 --- ### 二、进阶排查 #### 1. **容器内应用未正常运行** - **验证方法**:查看容器日志: ```bash docker logs 容器名 ``` - **解决**:根据日志修复应用配置或依赖问题。 #### 2. **Docker网络模式问题** - **现象**:使用`--network=host`时端口冲突,或自定义网络配置错误。 - **验证方法**:检查容器网络模式: ```bash docker inspect 容器名 | grep NetworkMode ``` - **解决**:改用默认的`bridge`模式,或确保自定义网络配置正确。 #### 3. **多容器间通信问题** - **现象**:容器间通过服务名无法访问(例如Docker Compose环境)。 - **解决**: - 确保容器在同一自定义网络中。 - 使用Docker Compose时,服务名自动解析为容器IP。 --- ### 三、快速验证流程 1. **宿主机本地访问**: ```bash curl http://localhost:宿主机端口 ``` - 若成功,说明容器端口映射正常。 2. **容器内部访问**: ```bash docker exec -it 容器名 curl http://localhost:容器端口 ``` - 若失败,应用未正常运行或未监听端口。 3. **外部网络访问**: ```bash telnet 宿主IP 宿主机端口 ``` - 若不通,检查防火墙或安全组。 --- ### 四、常见案例 #### 案例1:Nginx容器无法访问 - **原因**:Nginx默认监听IPv6地址`[::]:80`,但部分环境不支持。 - **解决**:修改Nginx配置为`listen 0.0.0.0:80;`。 #### 案例2:Spring Boot应用无响应 - **原因**:应用启动参数未指定`--server.address=0.0.0.0`。 - **解决**:启动命令添加: ```bash java -jar app.jar --server.address=0.0.0.0 ``` --- 通过上述步骤逐步排查,通常可定位问题根源。如果仍无法解决,建议提供`docker run`命令、应用日志及网络配置细节进一步分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值