请教个 docker 或是 iptables 防火墙问题：容器内能 ping 通 ip 但 ping 不通域名，提示“bad address”

@cpstar #39 dnsmasq 和 avahi-daemon 前者监听 53 后者监听了 5353
# netstat -unlp |grep 53
udp 0 0 127.0.0.1:53 0.0.0.0:* 9303/dnsmasq
udp 0 0 10.10.10.1:53 0.0.0.0:* 9303/dnsmasq
udp 0 0 0.0.0.0:5353 0.0.0.0:* 6347/avahi-daemon:
udp 0 0 :::5353 :::* 6347/avahi-daemon:

iptables -D PREROUTING -t nat -p udp --dport 53 -j REDIRECT --to-ports 53 试一下删掉 53 端口转发

然后贴一下 iptables-save -t nat

我貌似遇到这个问题，容器内 DNS 解析的问题，都是和防火墙有关的，因为 docker 的 iptable 规则是独立于管理者自己设置的规则的，不能被 admin 统筹管理端口开放规则，建议防火墙的前端不要采用 nftables，直接采用 iptables，这样子就可以使用了，另外关于 docker 的防火墙规则，建议还要依靠外部的防火墙实施端口隔离吧，搞本季内部的防火墙很容易导致冲突。

docker run -it --net=host --rm alpine /bin/ash

这个是有比较大风险的，相当于无视 docker 容器的网络隔离特性，一下子把那个容器的网络提升至最高，理论上它可以访问任何运行中的容器。

有试过修改容器内的 dns 服务器的 ip 吗？我之前在 k8s 的 pod 中也遇到过类似的问题，修改容器内的 dns 好了。

如果 dns 确定没有问题，可以试一下这个： https://stackoverflow.com/questions/64973164/why-does-a-web-app-container-access-mysql-container-within-the-same-docker-repor

@zhangsanfeng2012 #42 实在是没辙了

用 wireshark 抓包 发现问题 应该还是 iptables 的配置问题
@joyhub2140 #43 谢谢分享！
@joyhub2140 #44 是这样 本来使用容器的主要目的就是将容器与宿主机隔离开来 容器共享主机 ip 不是一个明智之举 谢谢指出
@magua #45 没搞好了 后面重新刷了一个固件 可以了
@OldCarMan #46 这个就是正文中提到的这个吧

```
firewall-cmd --zone=public --add-masquerade --permanent
firewall-cmd --reload
systemctl restart docker
```

@AllenHua 删掉 53 重定向也不行吗

@zhangsanfeng2012 #48 当时是把那两条规则删掉了 不行 我新增了附言 层主有兴趣 我们可以 tg 私聊

@AllenHua 你估计没看全，只是第一项允许防火墙转发 NAT 跟你正文中提到的一样，后面还有两项配置（开启 IPv4 转发和允许数据包通过 docker bridge network ）你可以设置一下，看看结果。