firewalld 和 docker 冲突问题

最新推荐文章于 2025-05-03 21:57:22 发布
原创 最新推荐文章于 2025-05-03 21:57:22 发布 · 8k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #linux

本文深入探讨了CentOs7系统中firewalld与docker服务的冲突问题,阐述了firewalld重启时清空iptables规则导致docker容器启动失败的原因,并提供了三种解决方案,包括禁用firewalld、使用iptables.service替代以及调整docker网络模式。

造成冲突的主要原因是:iptables的存在。

firewalld 和 iptables

首先,firewalld 和 iptables 都不是防火墙,它们只是防火墙的管理程序,真正的防火墙是内核的netfilter。CentOs 6 中使用iptables来管理防火墙,到了CentOs 7 默认使用firewalld来管理防火墙,但需要注意的是 firewalld 的底层还是调用 iptables 的,firewalld在iptables的基础上加了许多很好用的功能。
firewalld 是系统服务,有守护进程。iptables 只是一个工具,不是服务。

docker 和 iptables

docker 使用iptables 来实现网络隔离。docker 默认使用 bridge 网桥模式来实现容器的网络。dockerd 会在 iptables 建立 docker 链来设置所有的规则。这个链是不能动的,如果用户想自定义一些规则,可以写在 docker-user链中。
更多docker网络相关,可参考:https://docs.docker.com/network/iptables/

冲突原因

firewalld 启动或重启时,会将iptables的规则清空。导致docker启动容器出错。这时就需要重启dockerd。
有一些文章说dockerd 在 firewalld之后启动,将不存在问题。按照目前的理解这样确实不会有问题(但我使用的时候还是有问题)。下面来实验一下
系统:CentOs 7.7 1908
1、关掉 docker 和 firewalld 服务

systemctl stop docker
systemctl stop firewalld

在这里插入图片描述
在这里插入图片描述
2、启动firewalld

systemctl start firewalld

在这里插入图片描述
此时iptables 已经被firewalld 恢复到默认设置了。
3、启动dockerd

ystemctl start docker

在这里插入图片描述
可以看到,docker服务一直没有起来,查看日志 也没有什么可用信息

#将docker 日志改为debug模式
vi /usr/lib/systemd/system/docker.service
#加入 --debug 
#再次启动docker
systemctl start docker
还是起不来,查看日志,也没啥有用的日志,猜测:firewalld 接管了netfilter后,docker 无法通过iptables来设置网络

解决方法

方法一、关闭 firewalld 且不让它开机启动

systemctl stop firewalld
systemctl disable firewalld

方法二、使用 iptables.service 代替firewalld
安装 iptables.service 的守护进程来替代firewalld
方法三、docker容器使用 host 主机网络模式,不要用bridge 模式

解决CentOS 8中Docker与containerd.io冲突
百态老人的博客
05-28 1339
在CentOS 8上安装Docker CE时,常遇到containerd.io与runc版本冲突问题,主要源于系统默认的Podman工具链与新Docker组件的依赖不兼容。本文提供四种解决方案:1)强制替换冲突组件,2)手动升级containerd.io,3)彻底清理容器工具链后重装,4)使用第三方仓库降级runc。关键步骤包括检查组件版本、启动服务及配置镜像加速。建议生产环境锁定稳定版本组合,并注意内核兼容性防火墙设置。文章还深入解析了containerd与runc的关系及Podman的替代影响,推荐优
dockerfirewalld冲突解决
liyanggyang的博客
04-26 5437
dockerfirewalld冲突解决
DockerFirewalld冲突怎么办?教你几招搞定docker网络
热门推荐
Task深水炸弹
06-09 1万+
为啥要研究这个问题docker-ce 默认会采用桥接网络,它会通过iptables来管理它的容器之间的通信容器与宿主机的通信,如果同时启用了firewalld服务,他们都会对iptables里面的转发链写入规则,而让人头疼的是,firewalld每次启动或者重启都会强制覆盖docker的转发链,同时,docker也会通过更高优先级的策略使firewalld里面配置的条目失效。
解决dockerfirewalld冲突问题
培根芝士的专栏
02-13 4009
如果同时启用了firewallddocker服务,他们都会对iptables里面的转发链写入规则,firewalld每次启动或者重启都会强制覆盖docker的转发链,同时,docker也会通过更高优先级的策略使firewalld里面配置的条目失效。的 firewalld zone,并把它的所有网络接口(包括docker0)加入到了这个区域里面,执行下面的命令将你的docker0接口移到。当启动firewalld出现冲突的时候,首先重启firewalld,然后重启docker,注意顺序不可以反过来。
Linuxdockerfirewalld不兼容问题
小白鸽i的博客
08-07 628
系统下firewalld正常运行,安装仓库里的docker版本,安装后启动docker服务,查看firewalld服务,服务有warning信息。a.因为docker是容器技术,防火墙的状态经过修改,就得重启docker刷新状态。firewalld状态变更包括(开启、关闭、更改)此问题dockerfirewalld 的兼容问题,警告不影响业务本身。b.经过重启的docker后正常创建网络。docker出现网络创建失败问题
Centos 7.9.2009 firewalld 防火墙无法拦截Docker映射端口
MR.骑士道
11-03 1878
Centos 7.9.2009 firewalld 防火墙无法拦截Docker映射端口
除了上述方法,还有其他解决DockerFirewalld冲突的方案吗?
最新发布
09-18
除了之前提到的方法,还有以下解决 Docker Firewalld 冲突的方案: ### 基于源地址配置规则 给 Docker 的源地址 `172.17.0.0/16` 开放特定端口,如 11260 端口,以隔离其他网段的访问。这本质上是对特定网段暴露...
DockerFirewalld冲突的三种解决方案
DockerFirewalld之间的冲突Linux系统运维容器化部署过程中一个常见但极具挑战性的问题,尤其在使用CentOS、RHEL或Fedora等默认启用firewalld的发行版时尤为突出。该问题的核心在于两者对iptables规则的管理...
iptablesfirewalld冲突
03-18
iptables firewalld 都是用来管理 Linux 系统防火墙规则的工具,但它们的工作机制不同。虽然两者最终都依赖于内核中的 netfilter 来执行实际的过滤操作,但由于它们各自维护独立的规则集,可能会导致规则覆盖或...
docker 不接管firewalld
07-14
你好!关于你的问题Docker 默认情况下不接管 ...但请注意,在容器内使用 firewalld 可能需要特定的配置权限,并且可能会与 Docker 的网络功能产生冲突。 希望这能回答你的问题!如果你还有其他问题,请随时提问。
firewall docker 冲突问题解决(亲测有效)
技术小站
05-03 993
systemctl enable firewalld # 设置防火墙开机自启动。systemctl status iptables # 查看服务状态。systemctl status firewalld # 查看服务状态。systemctl disable iptables # 禁用服务。systemctl stop iptables # 关闭服务。systemctl start firewalld # 开启服务。1、查询防火墙是否开启了net转发.no代表尚未开启net转发。
探索 Docker 网络策略与 Firewalld 服务的协同工作
十年运维开发经验的王义杰在此分享自己的知识和经验
11-17 616
Docker 容器的网络策略为容器提供了与外界通信的能力。Docker 默认支持几种网络模式,包括 bridge、host、none overlay。每种模式都有其特定的用途配置方法,影响着容器的网络隔离通信能力。Firewalld 是一种动态管理Linux防火墙的工具,提供了防火墙规则的即时更新而无需重启服务。它允许对入站出站流量进行更精细的控制,对于确保系统安全至关重要。理解 Docker 容器网络策略与 Firewalld 服务的交互关系,对于维护一个安全、高效的容器化环境至关重要。
docker端口 firewalld 限制 不了
@chenk的博客
11-23 1936
docker 会在iptables上加上自己的转发规则,如果直接在input链上限制端口是没有效果的。这就需要限制docker的转发链上的DOCKER表。 # 查询DOCKER表并显示规则编号 iptables -L DOCKER -n --line-number # 修改对应编号的iptables 规则,这里添加了允许访问ip的限制 iptables -R DOCKER 5 -p tcp -m tcp -s 192.168.1.0/24--dport 3000 -j ACCEPT ...
docker 防火墙 设置不生效问题解决
jxyk2007的专栏
08-03 2912
正确方法: iptables -R DOCKER 3 -p tcp -m tcp -s 127.0.0.1 --dport 8500 -j ACCEPT。方法1: firewall-cmd --zone=public --remove-port=8500/tcp --permanent(没有用)方法2: 修改配置文件 vim /etc/firewalld/zones/public.xml (没有用)报错Warning: NOT_ENABLED。想把容器的端口8500禁止掉。...
Linux系统firewalld无法拦截docker映射端口
qq_27815483的博客
10-04 1389
Linux系统firewalld无法拦截docker映射端口
centos7使用firewalld开放访问端口范围(docker-bridge模式的特殊处理)
atzqtzq的博客
01-16 9836
现有项目端口使用极多,为了开发调试方便,特使用开放端口范围、端口段的方式使用防火墙。 在实际项目中,推荐还是精确控制某一明确端口。 增加端口范围规则(与精确控制差不多,只是用"-"分隔) firewall-cmd --permanent --zone=public --add-port=8840-8900/tcp 删除规则 firewall-cmd --permanent --zone=public --remove-port=8840-8900/tcp 加载规则使生效 firewall-c
centos7 firewalld导致docker网络异常
leoss的博客
11-04 1万+
centos7 自带防火墙是firewalld。在某下情况下可能导致docker 的某些网络问题docker 有4种网络模式: 1.bridge模式 2.host模式 3.container模式 4.none模式 默认是bridge 网桥模式,docker会在宿住机配置一个虚拟网卡,并将容器连接到该网卡,而docker网络与宿住机外部网络的通信,是借助nat来实现的。所以当Iptable出现问...
Docker 绕过了 firewalld问题
海纳百川
09-10 5585
Docker 绕过了 firewalld问题 前言 我们的 firewalld 上没有开放该端口,但是在使用 Docker 的端口映射后我们就能够通过外网访问到该端口。 原因 默认情况下当Docker启动容器映射端口时,会直接在iptables添加规则开启添加端口。而 firewalld 实际上也是在iptables写入规则。因此 firewallddocker属于是同级的应用,但是firewalld不会去检测 docker 写入的规则,就会导致 docker 可以开启firewalld没有允许的端口
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值