请教个 docker 或是 iptables 防火墙问题:容器内能 ping 通 ip 但 ping 不通域名,提示“bad address”

2021-04-12 08:54:50 +08:00
 AllenHua

原帖发在了恩山,https://www.right.com.cn/forum/thread-4109783-1-1.html

dns 服务器应该不是问题了,可能就是防火墙的问题。用的是 x86 的 openwrt,防火墙是 iptables 程序,这条 iptables 规则怎么写? docker 中的容器 ping 不通域名这个问题是怎么一回事?

echo echo "91.189.92.201 archive.ubuntu.com" >> /etc/hosts 后就能 ping 通 archive.ubuntu.com 这个域名

搜到了下面的方法,但是我不知道用 iptables 该怎么解决,救救孩子🧒🏻吧

firewall-cmd --zone=public --add-masquerade --permanent
firewall-cmd --reload
systemctl restart docker
7614 次点击
所在节点    Linux
50 条回复
AllenHua
2021-04-12 13:59:53 +08:00
@cpstar #39 dnsmasq 和 avahi-daemon 前者监听 53 后者监听了 5353
# netstat -unlp |grep 53
udp 0 0 127.0.0.1:53 0.0.0.0:* 9303/dnsmasq
udp 0 0 10.10.10.1:53 0.0.0.0:* 9303/dnsmasq
udp 0 0 0.0.0.0:5353 0.0.0.0:* 6347/avahi-daemon:
udp 0 0 :::5353 :::* 6347/avahi-daemon:
zhangsanfeng2012
2021-04-12 14:07:55 +08:00
iptables -D PREROUTING -t nat -p udp --dport 53 -j REDIRECT --to-ports 53 试一下删掉 53 端口转发

然后贴一下 iptables-save -t nat
joyhub2140
2021-04-12 14:35:18 +08:00
我貌似遇到这个问题,容器内 DNS 解析的问题,都是和防火墙有关的,因为 docker 的 iptable 规则是独立于管理者自己设置的规则的,不能被 admin 统筹管理端口开放规则,建议防火墙的前端不要采用 nftables,直接采用 iptables,这样子就可以使用了,另外关于 docker 的防火墙规则,建议还要依靠外部的防火墙实施端口隔离吧,搞本季内部的防火墙很容易导致冲突。
joyhub2140
2021-04-12 14:38:31 +08:00
docker run -it --net=host --rm alpine /bin/ash

这个是有比较大风险的,相当于无视 docker 容器的网络隔离特性,一下子把那个容器的网络提升至最高,理论上它可以访问任何运行中的容器。
magua
2021-04-12 15:29:01 +08:00
有试过修改容器内的 dns 服务器的 ip 吗?我之前在 k8s 的 pod 中也遇到过类似的问题,修改容器内的 dns 好了。
OldCarMan
2021-04-12 17:30:57 +08:00
AllenHua
2021-04-12 19:08:35 +08:00
@zhangsanfeng2012 #42 实在是没辙了

用 wireshark 抓包 发现问题 应该还是 iptables 的配置问题
@joyhub2140 #43 谢谢分享!
@joyhub2140 #44 是这样 本来使用容器的主要目的就是将容器与宿主机隔离开来 容器共享主机 ip 不是一个明智之举 谢谢指出
@magua #45 没搞好了 后面重新刷了一个固件 可以了
@OldCarMan #46 这个就是正文中提到的这个吧

```
firewall-cmd --zone=public --add-masquerade --permanent
firewall-cmd --reload
systemctl restart docker
```
zhangsanfeng2012
2021-04-12 19:14:08 +08:00
@AllenHua 删掉 53 重定向也不行吗
AllenHua
2021-04-12 19:17:27 +08:00
@zhangsanfeng2012 #48 当时是把那两条规则删掉了 不行 我新增了附言 层主有兴趣 我们可以 tg 私聊
OldCarMan
2021-04-12 21:56:03 +08:00
@AllenHua 你估计没看全,只是第一项允许防火墙转发 NAT 跟你正文中提到的一样,后面还有两项配置(开启 IPv4 转发和允许数据包通过 docker bridge network )你可以设置一下,看看结果。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/769968

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX