Linux 因没通过反向路由检查而drop报文

问题现象

# 93816ef1ab90是ubuntu:23.10,ip是172.17.0.2
docker run -itd 93816ef1ab90 bash

主机可以ping通该容器。

删除容器内默认路由和子网路由后,无法ping通。

问题分析

nettrace -p icmp --daddr 172.17.0.2 --diag --ret

https://elixir.bootlin.com/linux/v6.5/source/net/ipv4/fib_frontend.c#L421

内核函数fib_validate_source返回1,没通过反向路由检查,说明容器收包和回包不是同一个网口。
这里,容器没有路由,不存在回包网口。

解决问题

容器网卡增加默认路由。

posted on 2024-07-30 08:58  王景迁  阅读(12)  评论(0编辑  收藏  举报

导航