centos 中，启用了 firewalld 防火墙，docker 内的容器无法访问外网

首先记录几个对 linux 系统服务操作的命令（以下都是对防火墙服务进行操作）：

# 启动服务
systemctl start firewalld

# 设置服务自启动
systemctl enable firewalld

# 取消服务自启动
systemctl disable firewalld

# 停止服务
systemctl stop firewalld

# 查看服务状态
systemctl status firewalld

# 重启服务
systemctl restart firewalld

 

另外如果在防火墙上配置例外端口，可以执行下面命令：

# 添加端口例外（添加时需要开启防火墙服务，添加后需要重启防火墙服务以生效）
firewall-cmd --add-port=8000/tcp --permanent

# 移除端口例外

firewall-cmd --remove-port=8000/tcp –permanent

# 配置 docker 容器内允许访问外部网络（需重启 firewalld、docker 以生效）
firewall-cmd --permanent --zone=trusted --change-interface=docker0

 

#检查配置

firewall-cmd --get-zone-of-interface=docker0

firewall-cmd --get-active-zones

firewall-cmd --list-all

 

# 验证容器内对外部的访问（检查 DNS 解析结果是否正常）
docker run --rm busybox nslookup baidu.com

 

还有一种是直接删除 docker0 网卡，让 docker 自动重建网络规则

# 停止 docker 服务

systemctl stop docker

# 删除 docker0 网卡

ip link delete docker0

# 重启防火墙

systemctl restart iptables

systemctl restart firewalld

# 启动 docker 服务

systemctl start docker

 

下面是一些 linux 中常用的网络命令记录：

# 验证网站访问
curl http://baidu.com/

# 查看 dns
nslookup baidu.com

# 查看网络信息
ifconfig

# 查看网卡
ip link

# 删除网卡
ip link delete docker0

# 查看路由表
ip route

# 查看 nat 表
iptables -t nat -L -n

# 启用 ip 转发
sysctl net.ipv4.conf.all.forwarding=1
sudo iptables -P FORWARD ACCEPT

 

参考：
https://www.cnblogs.com/zl1991/p/10531726.html
https://unix.stackexchange.com/questions/199966/how-to-configure-centos-7-firewalld-to-allow-docker-containers-free-access-to-th

参考：
https://docs.docker.com/network/bridge/
https://docs.docker.com/v17.09/engine/userguide/networking/default_network/custom-docker0/
https://docs.docker.com/v17.09/engine/userguide/networking/default_network/binding/