docker与firewalld冲突解决

已于 2025-04-17 16:22:35 修改
阅读量5.1k 收藏 16
点赞数 2
CC 4.0 BY-SA版权
文章标签: docker linux 运维
于 2023-04-26 15:04:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyanggyang/article/details/130386522
文章介绍了当firewalld与Docker同时使用时可能出现的冲突,即firewalld重启会移除Docker的iptables规则。为解决此问题,建议禁用firewalld对Docker的管理,修改docker配置以避免使用iptables,并通过firewall-cmd命令控制端口访问。同时,若需容器访问外界IP,需开启firewalld的NAT转发功能,并配置相应的防火墙规则。

firewall的底层是使用iptables进行数据过滤,建立在iptables之上,而docker使用iptables来进行网络隔离和管理,这可能会与 Docker 产生冲突。当 firewalld 启动或者重启的时候,将会从 iptables 中移除 DOCKER 的规则,从而影响了 Docker 的正常工作。 同理,重启docker或者docker安装在后(或 docker容器安装在后),也会清理firewalld的规则

iptables -L 查询iptables 链

解决方法:

让Docker 绕过了 firewalld

####### 1、先关闭防火墙 #######
systemctl stop firewalld

####### 2、修改docker配置 #######
#修改docker配置
vim /etc/docker/daemon.json
#添加规则
{
...
"iptables": false
}
#重启docker
systemctl daemon-reload
systemctl restart docker

####### 3、开启或重启防火墙 #######
systemctl restart firewalld
 
####### 4、再次重启docker #######
systemctl restart docker

####### 此时docker -p的服务的端口能本地127.0.0.1访问 #######
####### 以后就可以通过firewall控制对外端口是否可用了(firewall-cmd 命令) #######

firewall-cmd命令可参考:防火墙firewall-cmd

【重要一】
绕过iptables之后,有个弊端:容器内部无法访问外界IP。如果需要访问,那么打开firewalld防火墙,且开启NAT转发功能,详细步骤如下:

此外,建议firewall防火墙开启NAT转发功能,解决阻止docker容器访问外界IP
https://blog.csdn.net/liyanggyang/article/details/128838350

【重要二】
在打开firewalld防火墙,且开启NAT转发功能后,允许容器访问外界IP:
1、容器访问本宿主机(物理/虚拟机)IP,本宿主机的防火墙检测到的IP是容器IP, 所以本机防火墙需要放行docker网段(可见 firewall-cmd命令可参考
2、访问其他外界物理/虚拟机,外界物理/虚拟机检测到的IP是容器所在宿主机IP。

liyanggyang
关注
docker 通过 firewalld、iptables 端口映射 及 解决外部主机无法访问问题
JineD的博客
02-24 9981
docker容器内提供服务并监听8888端口,要使外部能够访问,需要做端口映射。 docker run -it --rm -p 8888:8888 server:v1 此时出现问题,在虚机A上部署后,在A内能够访问8888端口服务,但是在B却不能访问。 这应该是由于请求被拦截。 一、查看firewall-cmd --state 如果输出的是“not running”则FirewallD没有在运行,且所有的防护策略都没有启动,那么可以排除防火墙阻断连接的情况了。 如果输出的是“running
解决CentOS 8中Dockercontainerd.io冲突
百态老人的博客
05-28 996
在CentOS 8上安装Docker CE时,常遇到containerd.iorunc版本冲突问题,主要源于系统默认的Podman工具链Docker组件的依赖不兼容。本文提供四种解决方案:1)强制替换冲突组件,2)手动升级containerd.io,3)彻底清理容器工具链后重装,4)使用第三方仓库降级runc。关键步骤包括检查组件版本、启动服务及配置镜像加速。建议生产环境锁定稳定版本组合,并注意内核兼容性和防火墙设置。文章还深入解析了containerdrunc的关系及Podman的替代影响,推荐优
Linuxdockerfirewalld不兼容问题
小白鸽i的博客
08-07 579
系统下firewalld正常运行,安装仓库里的docker版本,安装后启动docker服务,查看firewalld服务,服务有warning信息。a.因为docker是容器技术,防火墙的状态经过修改,就得重启docker刷新状态。firewalld状态变更包括(开启、关闭、更改)此问题是dockerfirewalld 的兼容问题,警告不影响业务本身。b.经过重启的docker后正常创建网络。docker出现网络创建失败问题。
firewalld防火墙阻止docker容器间通信的排查思路及解决方案
alicinya的博客
11-24 1674
现有两个docker容器nginx、openjdk分别部署前后端服务,假设默认防火墙为firewalld,发现在默认配置下,本地直接curl后台服务器能正确响应,nginx的代理的请求proxy_pass无法得到后台服务器的响应
docker使用firewalld防火墙容器无法互通和外部网络访问不了
最新发布
打杂的运维
06-27 393
摘要:本文介绍在启用firewalld防火墙时Docker iptables规则的冲突解决方案。主要步骤包括:1)禁用Docker的iptables管理并修改配置文件;2)重启Docker和防火墙服务;3)将Docker网桥网络加入防火墙白名单。还提供了解决容器网络访问问题的补充方案,如开启IP伪装、内核转发等。这些操作确保firewalld能正常管理Docker端口,同时维持容器内外网络互通性。(150字)
在CentOS 7 上为docker配置端口转发以兼容firewall的解决方法
01-09
在CentOS 7上当我们以类似下列命令将主机端口容器端口映射时可能遇到无法访问容器服务的问题 docker run --name web_a -p 192.168.1.250:803:80 -d web_a:beta1.0.0 . 由于docker在执行此命令时,是向iptables注入了一条规则将主机803映射到容器80端口,但是CentOS 7中以firewalld服务替代了iptables。因此,上述命令的端口映射不会生效。 解决方法:首先观察一下主机上的网卡信息,确认增加了一个docker0的虚拟网卡: [root@localhost /home]# ifconfig dock
解决dockerfirewalld冲突问题
培根芝士的专栏
02-13 3720
如果同时启用了firewallddocker服务,他们都会对iptables里面的转发链写入规则,firewalld每次启动或者重启都会强制覆盖docker的转发链,同时,docker也会通过更高优先级的策略使firewalld里面配置的条目失效。的 firewalld zone,并把它的所有网络接口(包括docker0)加入到了这个区域里面,执行下面的命令将你的docker0接口移到。当启动firewalld出现冲突的时候,首先重启firewalld,然后重启docker,注意顺序不可以反过来。
DockerFirewalld冲突怎么办?教你几招搞定docker网络
热门推荐
Task深水炸弹
06-09 1万+
为啥要研究这个问题?docker-ce 默认会采用桥接网络,它会通过iptables来管理它的容器之间的通信和容器宿主机的通信,如果同时启用了firewalld服务,他们都会对iptables里面的转发链写入规则,而让人头疼的是,firewalld每次启动或者重启都会强制覆盖docker的转发链,同时,docker也会通过更高优先级的策略使firewalld里面配置的条目失效。
关于docker和firewall端口冲突问题
沉心ss的博客
11-19 2045
前言 docker和firewall底层都会操作iptable 但是 docker操作的iptable不会在firewall上留记录 firewall每次重启也会重置iptable端口规则 这就导致了 1.后启动的docker服务,会 ”打洞“,firewall没有允许的端口也会开放出去 2.后启动firewall服务,会清空iptable规则,重置规则影响docker的容器启动 解决方法 修改docker配置,不操作iptable # 修改配置vim /etc/docker/
firewallddocker 冲突问题
m0_67394006的博客
04-02 2840
造成冲突的主要原因是:iptables的存在。 firewalld 和 iptables 首先,firewalld 和 iptables 都不是防火墙,它们只是防火墙的管理程序,真正的防火墙是内核的netfilter。CentOs 6 中使用iptables来管理防火墙,到了CentOs 7 默认使用firewalld来管理防火墙,但需要注意的是 firewalld 的底层还是调用 iptables 的,firewalld在iptables的基础上加了许多很好用的功能。 firewalld 是系统服务,有守
linux-运维进阶-13 iptablesfirewalld防火墙
weixin_42560249的博客
03-26 1646
linux-运维进阶-13 iptablesfirewalld防火墙 iptables iptables是centos6以及之前版本的默认防火墙工具,在centos7中默认防火墙工具已经替换为firewalld。 区别: iptables防火墙的底层是netfiter firewalld防火墙的底层是iptables 注意:iptables和firewalld是冲突的,同时只能使用一个防火墙 在...
docker 不接管firewalld
07-14
这样可以确保 Docker 守护进程在 iptables 规则中的任何更改都不会 firewalld 发生冲突。 如果你想在 Docker 容器中使用 firewalld,你可以在容器内部安装并配置 firewalld。但请注意,在容器内使用 firewalld ...
iptables和firewalld冲突吗
03-18
### iptablesfirewalld之间的冲突原因 iptables 和 firewalld 都是用来管理 Linux 系统防火墙规则的工具,但它们的工作机制不同。虽然两者最终都依赖于内核中的 netfilter 来执行实际的过滤操作,但由于它们各自...
Docker端口冲突解决之道】:确保端口映射正确的六大策略
本文系统地介绍了Docker端口映射的基础知识、端口冲突的诊断方法、避免冲突的策略以及解决端口冲突的进阶技巧。通过对端口映射机制、端口冲突检测、网络命名空间和容器编排工具的深入分析,本文旨在提供全面的解决...
Centos7 firewall和docker冲突问题
Ranger
11-02 4637
Centos7 firewall 和 docker冲突的问题系统环境问题描述问题排查解决办法 本文只是我对问题的记录,只能用作参考,不能说明问题,请谨慎使用 系统环境 系统:Centos7 防火墙工具:firewalld Docker容器:docker容器使用docker默认的网桥(bridge),进行了端口映射 问题描述 在系统防火墙firewalld关闭的状态下,启动了一个docker容器,然后启动了防火墙,发现docker容器中的服务不能访问,然后使用firewall-cmd --zone=publi
Linux防火墙firewalld不生效,无法拦截Docker映射端口
qq_30665009的博客
03-09 1万+
今天出现了一个奇怪的现象,centos服务器上的防火墙(firewall)没有开放8103端口,但是依然可以访问服务器开放的端口如下:可以看出并没有开放8103端口开放的服务如下:也没有开放某三维系统,但可以正常访问重启过防火墙,重启过服务器,仍未解决此现象。真是脑阔疼啊!!!执行 systemctl status firewalld 时突然发现了这么一条警告WARNING: COMMAND_F...
Docker防火墙问题
weixin_50762970的博客
08-11 4334
Docker防火墙问题
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值