[问题已处理]docker中2个网桥互ping不通

最新推荐文章于 2023-08-11 09:58:25 发布
最新推荐文章于 2023-08-11 09:58:25 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: 容器 问题已处理
仅供学习参考 转载请标明出处。个人笔记为自己记录 如果对大家有帮助那也挺好 写的马虎 如果有不对的地方谢谢指正 各位大佬别喷哦
本文链接:https://blog.csdn.net/xujiamin0022016/article/details/101485045
版权

两个网桥

br-65f和docker0

 

分别以2个网桥启动了一个busybox:latest 但是互相ping不通

 

后来发现是防火墙配置的问题

iptables -nvL |grep DROP

 

 

删除对应的规则

[root@izbp18yjhaftfs1kndfnjrz ~]# iptables -L INPUT --line-numbers

Chain INPUT (policy ACCEPT)

num  target     prot opt source               destination        

1    ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED

2    ACCEPT     all  --  anywhere             anywhere           

3    INPUT_direct  all  --  anywhere             anywhere           

4    INPUT_ZONES_SOURCE  all  --  anywhere             anywhere           

5    INPUT_ZONES  all  --  anywhere             anywhere           

6    DROP       all  --  anywhere             anywhere             ctstate INVALID

7    REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

[root@izbp18yjhaftfs1kndfnjrz ~]# iptables -D INPUT 6

[root@izbp18yjhaftfs1kndfnjrz ~]# iptables -L INPUT --line-numbers

Chain INPUT (policy ACCEPT)

num  target     prot opt source               destination        

1    ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED

2    ACCEPT     all  --  anywhere             anywhere           

3    INPUT_direct  all  --  anywhere             anywhere            

4    INPUT_ZONES_SOURCE  all  --  anywhere             anywhere           

5    INPUT_ZONES  all  --  anywhere             anywhere           

6    REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

需要重启防火墙后生效

[root@izbp18yjhaftfs1kndfnjrz ~]# iptables -nvL |grep DROP

Chain FORWARD (policy DROP 0 packets, 0 bytes)

    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID

   88  7392 DROP       all  --  *      docker0  0.0.0.0/0            0.0.0.0/0          

 2180  183K DROP       all  --  *      br-65fbd2716988  0.0.0.0/0            0.0.0.0/0          

 [root@izbp18yjhaftfs1kndfnjrz ~]# systemctl  restart firewalld

[root@izbp18yjhaftfs1kndfnjrz ~]# iptables -nvL |grep DROP

    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID

0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID







也可以通过把防火墙命令导入到文件之后 查看详细的命令再做修改

iptables-save > /tmp/1.txt



[root@izbp18yjhaftfs1kndfnjrz ~]# cat /tmp/1.txt

# Generated by iptables-save v1.4.21 on Mon Sep 23 22:06:49 2019

*mangle

:PREROUTING ACCEPT [2298:164094]

:INPUT ACCEPT [2000:139062]

:FORWARD ACCEPT [298:25032]

:OUTPUT ACCEPT [2109:218435]

:POSTROUTING ACCEPT [2407:243467]

:FORWARD_direct - [0:0]

:INPUT_direct - [0:0]

:OUTPUT_direct - [0:0]

:POSTROUTING_direct - [0:0]

:PREROUTING_ZONES - [0:0]

:PREROUTING_ZONES_SOURCE - [0:0]

:PREROUTING_direct - [0:0]

:PRE_public - [0:0]

:PRE_public_allow - [0:0]

:PRE_public_deny - [0:0]

:PRE_public_log - [0:0]

-A PREROUTING -j PREROUTING_direct

-A PREROUTING -j PREROUTING_ZONES_SOURCE

-A PREROUTING -j PREROUTING_ZONES

-A INPUT -j INPUT_direct

-A FORWARD -j FORWARD_direct

-A OUTPUT -j OUTPUT_direct

-A POSTROUTING -j POSTROUTING_direct

-A PREROUTING_ZONES -g PRE_public

-A PRE_public -j PRE_public_log

-A PRE_public -j PRE_public_deny

-A PRE_public -j PRE_public_allow

COMMIT

# Completed on Mon Sep 23 22:06:49 2019

# Generated by iptables-save v1.4.21 on Mon Sep 23 22:06:49 2019

*security

:INPUT ACCEPT [1934:135782]

:FORWARD ACCEPT [298:25032]

:OUTPUT ACCEPT [2109:218435]

:FORWARD_direct - [0:0]

:INPUT_direct - [0:0]

:OUTPUT_direct - [0:0]

-A INPUT -j INPUT_direct

-A FORWARD -j FORWARD_direct

-A OUTPUT -j OUTPUT_direct

COMMIT

# Completed on Mon Sep 23 22:06:49 2019

# Generated by iptables-save v1.4.21 on Mon Sep 23 22:06:49 2019

*raw

:PREROUTING ACCEPT [2298:164094]

:OUTPUT ACCEPT [2109:218435]

:OUTPUT_direct - [0:0]

:PREROUTING_ZONES - [0:0]

:PREROUTING_ZONES_SOURCE - [0:0]

:PREROUTING_direct - [0:0]

:PRE_public - [0:0]

:PRE_public_allow - [0:0]

:PRE_public_deny - [0:0]

:PRE_public_log - [0:0]

-A PREROUTING -j PREROUTING_direct

-A PREROUTING -j PREROUTING_ZONES_SOURCE

-A PREROUTING -j PREROUTING_ZONES

-A OUTPUT -j OUTPUT_direct

-A PREROUTING_ZONES -g PRE_public

-A PRE_public -j PRE_public_log

-A PRE_public -j PRE_public_deny

-A PRE_public -j PRE_public_allow

COMMIT

# Completed on Mon Sep 23 22:06:49 2019

# Generated by iptables-save v1.4.21 on Mon Sep 23 22:06:49 2019

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [2104:208371]

:DOCKER - [0:0]

:DOCKER-ISOLATION-STAGE-1 - [0:0]

:DOCKER-ISOLATION-STAGE-2 - [0:0]

:DOCKER-USER - [0:0]

:FORWARD_IN_ZONES - [0:0]

:FORWARD_IN_ZONES_SOURCE - [0:0]

:FORWARD_OUT_ZONES - [0:0]

:FORWARD_OUT_ZONES_SOURCE - [0:0]

:FORWARD_direct - [0:0]

:FWDI_public - [0:0]

:FWDI_public_allow - [0:0]

:FWDI_public_deny - [0:0]

:FWDI_public_log - [0:0]

:FWDO_public - [0:0]

:FWDO_public_allow - [0:0]

:FWDO_public_deny - [0:0]

:FWDO_public_log - [0:0]

:INPUT_ZONES - [0:0]

:INPUT_ZONES_SOURCE - [0:0]

:INPUT_direct - [0:0]

:IN_public - [0:0]

:IN_public_allow - [0:0]

:IN_public_deny - [0:0]

:IN_public_log - [0:0]

:OUTPUT_direct - [0:0]

-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -j INPUT_direct

-A INPUT -j INPUT_ZONES_SOURCE

-A INPUT -j INPUT_ZONES

-A INPUT -m conntrack --ctstate INVALID -j DROP

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j DOCKER-USER

-A FORWARD -j DOCKER-ISOLATION-STAGE-1

-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -o docker0 -j DOCKER

-A FORWARD -i docker0 ! -o docker0 -j ACCEPT

-A FORWARD -i docker0 -o docker0 -j ACCEPT

-A FORWARD -o br-65fbd2716988 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -o br-65fbd2716988 -j DOCKER

-A FORWARD -i br-65fbd2716988 ! -o br-65fbd2716988 -j ACCEPT

-A FORWARD -i br-65fbd2716988 -o br-65fbd2716988 -j ACCEPT

-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -i lo -j ACCEPT

-A FORWARD -j FORWARD_direct

-A FORWARD -j FORWARD_IN_ZONES_SOURCE

-A FORWARD -j FORWARD_IN_ZONES

-A FORWARD -j FORWARD_OUT_ZONES_SOURCE

-A FORWARD -j FORWARD_OUT_ZONES

-A FORWARD -m conntrack --ctstate INVALID -j DROP

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

-A OUTPUT -j OUTPUT_direct

-A DOCKER-ISOLATION-STAGE-1 -j RETURN

-A DOCKER-ISOLATION-STAGE-2 -j RETURN

-A DOCKER-USER -j RETURN

-A FORWARD_IN_ZONES -g FWDI_public

-A FORWARD_OUT_ZONES -g FWDO_public

-A FWDI_public -j FWDI_public_log

-A FWDI_public -j FWDI_public_deny

-A FWDI_public -j FWDI_public_allow

-A FWDI_public -p icmp -j ACCEPT

-A FWDO_public -j FWDO_public_log

-A FWDO_public -j FWDO_public_deny

-A FWDO_public -j FWDO_public_allow

-A INPUT_ZONES -g IN_public

-A IN_public -j IN_public_log

-A IN_public -j IN_public_deny

-A IN_public -j IN_public_allow

-A IN_public -p icmp -j ACCEPT

-A IN_public_allow -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT

-A IN_public_allow -p tcp -m tcp --dport 3306 -m conntrack --ctstate NEW -j ACCEPT

-A IN_public_allow -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -j ACCEPT

COMMIT

# Completed on Mon Sep 23 22:06:49 2019

# Generated by iptables-save v1.4.21 on Mon Sep 23 22:06:49 2019

*nat

:PREROUTING ACCEPT [79:4456]

:INPUT ACCEPT [68:3964]

:OUTPUT ACCEPT [216:14812]

:POSTROUTING ACCEPT [216:14812]

:DOCKER - [0:0]

:OUTPUT_direct - [0:0]

:POSTROUTING_ZONES - [0:0]

:POSTROUTING_ZONES_SOURCE - [0:0]

:POSTROUTING_direct - [0:0]

:POST_public - [0:0]

:POST_public_allow - [0:0]

:POST_public_deny - [0:0]

:POST_public_log - [0:0]

:PREROUTING_ZONES - [0:0]

:PREROUTING_ZONES_SOURCE - [0:0]

:PREROUTING_direct - [0:0]

:PRE_public - [0:0]

:PRE_public_allow - [0:0]

:PRE_public_deny - [0:0]

:PRE_public_log - [0:0]

-A PREROUTING -j PREROUTING_direct

-A PREROUTING -j PREROUTING_ZONES_SOURCE

-A PREROUTING -j PREROUTING_ZONES

-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER

-A OUTPUT -j OUTPUT_direct

-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER

-A POSTROUTING -s 10.0.0.0/16 ! -o docker0 -j MASQUERADE

-A POSTROUTING -s 172.26.0.0/16 ! -o br-65fbd2716988 -j MASQUERADE

-A POSTROUTING -j POSTROUTING_direct

-A POSTROUTING -j POSTROUTING_ZONES_SOURCE

-A POSTROUTING -j POSTROUTING_ZONES

-A DOCKER -i docker0 -j RETURN

-A DOCKER -i br-65fbd2716988 -j RETURN

-A POSTROUTING_ZONES -g POST_public

-A POST_public -j POST_public_log

-A POST_public -j POST_public_deny

-A POST_public -j POST_public_allow

-A PREROUTING_ZONES -g PRE_public

-A PRE_public -j PRE_public_log

-A PRE_public -j PRE_public_deny

-A PRE_public -j PRE_public_allow

COMMIT

# Completed on Mon Sep 23 22:06:49 2019

 

再次测试ping 命令  其实reload之后就立马生效了

 

 

爷来辣
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Docker Network 之自定义网桥
01-20
单机多容器最佳通信方式—自定义网桥。与默认docker0网桥的比较 1.更好的隔离性与操作性,无需暴露端口,同一自定义bridge 下的容器可以相访问所有端口 2.可以热拔插,想用就连不想用就断开 3.提供了容器的自动 DNS解析能力 ,无需手动 link 4.每个bridge 个性化配置 下文采用redis 主从例子简单介绍一下自定义网桥 构建一个自定义网桥  redis-net ,使用默认配置,默认驱动为 bridge ,由容器自动构建虚拟子网,容器自动构建子网的范围为172.16~172.30 docker network create redis-net  docker netwo
Linux日常运维(二)
变成习惯
06-13 2730
10.4 Linux的防火墙 SELinux SELinux是linux系统特有的安全机制,这种机制限制较多,配置也比较繁琐,所以一般把SELinux关闭。 查看selinux的状态有两种方法: getenforce命令可查看selinux状态: # getenforce Enforcing /usr/sbin/sestatus也可查看selinux状态: # /usr/sbin/sest...
简单的状态防火墙
leoysq的博客
03-06 1万+
https://wiki.archlinux.org/index.php/Simple_stateful_firewall#Port_knocking 先决条件 注意:您的内核需要使用iptables支持进行编译。所有股票Arch Linux内核都有iptables支持。 首先,安装userland实用程序iptables或验证它们是否已经安装。 本文假设当前没有设置i
一次有趣的 Docker 网络问题排查经历
云原生实验室
07-02 470
前段时间公司的安卓打包服务出现问题,现象是在上传 360 服务器进行加固的时候,非常大概率会卡在上传阶段,长时间重试最后失败。我对这个情况进行了一些排查分析,解决了这个问题,写了这篇长文复...
Docker第一讲 Docker容器间/容器与宿主机ping不通解决
热门推荐
程序员路同学
03-21 1万+
Docker第一讲 - Docker容器间/容器与宿主机ping不通解决Docker第一讲 - Docker容器间/容器与宿主机ping不通解决Docker第一讲 - Docker容器间/容器与宿主机ping不通解决
宿主机无法pingdocker容器IP解决
最新发布
weixin_45493805的博客
08-11 3446
主机和docker容器网络不通解决方案
解决Mac下 docker 无法 ping 通宿主机的问题
01-20
抛弃docker for mac自带的linux虚拟机(尽管轻量,但其与OSX通信采用socket文件的方式),使用docker-machine 安装virtualbox。virtualbox创建后,会添加一个虚拟网卡,可以通过ifconfig命令查看。我们实现的方式,...
Docker如何添加自定义网桥
09-30
Docker默认创建了一个名为`docker0`的网桥,但有时我们可能需要更高级的网络配置,例如添加自定义网桥,以满足特定的需求,如隔离网络、设定静态IP地址或与其他网络设备交。本篇文章将详细介绍如何在CentOS 7系统...
解决docker容器无法ping外网的问题
09-29
在本篇文章里小编给大家分享的是关于解决docker容器无法ping外网的问题,有需要的朋友们可以参考下。
详解修改docker启动默认网桥docker0为自定义网桥
01-10
除了默认的 docker0 网桥,用户也可以指定网桥来连接各个容器。 在启动 Docker 服务的时候,使用 -b BRIDGE或–bridge=BRIDGE 来指定使用的网桥。 如果服务已经运行,那需要先停止服务,并删除旧的网桥。 $ sudo ...
Docker 容器之间无法ping通的原因分析。
fjh1997的博客
07-19 7205
最近配置ctfd遇到了个问题,总是提示 Waiting for db: to be ready 去翻了下docker-entrypoint发现是ping db命令ping不通docker有着内部的dns,db这个域名会被解析成如172.18.0.4这样的内部地址,ping db不通那显然是ip不通的原因。 可问题是,我ctfd的ip是172.18.0.4/24,显然和db的ip在同一网段,但却不通,这是什么原因呢? 看了下这篇文章: https://maximorlov.com/4-reasons-w
WSL2实现桥接网卡(简单版)局域网内ping不成问题~
qq_30883899的博客
07-08 1959
执行以下脚本,实际IP地址,网关啥的根据实际情况设置。
linux防火墙配置信息,Linux下防火墙配置
weixin_39690097的博客
05-10 288
无聊又玩了下linux系统,这里记录一下linux的防火墙配置首先确保你开启了iptables服务,如果没有的话,通过以下命令开启:# systemctl start iptables清除现在的配置,使之回复到默认状态:# iptables -F# iptables -X# iptables -t nat -F# iptables -t nat -X# iptables -t raw -F# ip...
docker 容器通过桥接方式绑定到宿主机无法访问另外一个docker容器
weixin_30706691的博客
12-03 764
背景   公司最近前后端项目发布方式转型到容器化方式,docker的端口映射其实是通过iptables或者firewalld进行转发访问,而公司本身针对网络进行了策略访问,所以再发布的过程出现了容器内部访问80端口可以,其他端口均提示“NO ROUTE TO HOST“。而查阅了baidu的相关资料,基本没有针对该问题具有比较好的解决方案 解决思路   docker container的桥...
解决:docker桥接(bridge)模式下容器内网络不通
willingtolove的博客
02-23 6185
在Ubuntu系统,安装docker,并以bridge网络模式启动容器,网络不通(无法访问外网),但使用host网络模式没有问题。刚开始怀疑是DNS问题,后来发现是route问题
docker容器启动使用桥接模式无法上网问题排查
梦中注定的博客
06-05 1246
最近公司在搞CICD持续集成、持续交付,期间遇到过这样一种问题:GitLab Runner配置docker时设置limit=5、request_concurreny=5将任务的执行设置为并发执行,network_mode设置为host模式。这样就会有问题存在了,其一个任务需要启动PG,在任务并行执行时会存在端口冲突问题导致任务执行失败。当时的解决办法是limit和request_concurrency都设置成1让任务串行执行。
Docker 容器与宿主机网段冲突导致网络无法 ping 通的解决方案
weixin_30824277的博客
03-28 1089
docker 容器网络默认使用bridge 桥接模式,正常情况下,容器会使用 daemon.json 定义的虚拟网桥来与宿主机进行通讯。 最近更新 Docker for mac 之后,发现以前容器可以访问的局域网内服务(使用宿主机所在的局域网 IP 访问),变得不可访问了。一开始以为是新版本改了默认网络配置,查了半天 release log 并没有找到相关条目。 后来在同事的帮助下发现问...
2.网络桥接Bridge及ping不通时如何解决
我要变蘑菇了_o的博客
08-05 6825
ifcfg-br0 ifcfg-enp0s25 Enter —> System enp0s25—真实的物理网卡 桥接和nm-connectin-editor的区别 NAT=network address transform 网络地址转换(应用于不在同一网段的主机间) SNAT=source network address transform 源网络地址转换 DNAT=distination ...
iptables深度指南
weixin_43230594的博客
09-07 3203
Linux iptables
docker 两个物理机之间的网桥不通
04-24
可以使用 docker network 命令创建一个新的网桥,并将需要通信的容器加入该网桥。例如,使用以下命令创建名为 mybridge 的网桥: ``` docker network create mybridge ``` 然后,在启动容器时,需要将它们加入该...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

爷来辣

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值