docker出现“Failing to start dockerd: failed to create NAT chain DOCKER”错误

最新推荐文章于 2025-04-09 10:53:24 发布

原创

最新推荐文章于 2025-04-09 10:53:24 发布 · 2.5k 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#docker

在Windows的WSL2环境下安装Ubuntu并尝试启动Docker时遇到问题，报错提及Docker无法初始化网络控制器，因为iptables规则添加失败。解决方案是将系统设置为使用iptables-legacy，通过运行两个更新替代命令来切换到iptables的遗留版本，然后启动Docker服务。

使用Windows的WSL 2里面的Ubuntu安装docker之后，启动docker服务一直失败，提示Docker is not running。使用dockerd命令会出现如下错误：

INFO[2023-03-01T18:22:07.565628800+08:00] [core] [Channel #7 SubChannel #8] Subchannel Connectivity change to IDLE  module=grpc
INFO[2023-03-01T18:22:07.565895700+08:00] [core] [Channel #7] Channel Connectivity change to IDLE  module=grpc
failed to start daemon: Error initializing network controller: error obtaining controller instance: unable to add return rule in DOCKER-ISOLATION-STAGE-1 chain:  (iptables failed: iptables --wait -A DOCKER-ISOLATION-STAGE-1 -j RETURN: iptables v1.8.7 (nf_tables):  RULE_APPEND failed (No such file or directory): rule in chain DOCKER-ISOLATION-STAGE-1
 (exit status 4))

解决办法：

docker安装程序使用iptables进行nat转换。不幸的是Debian使用nftables。您可以将条目转换为nftables，或者只是设置Debian以使用遗留的iptables。

sudo update-alternatives --set iptables /usr/sbin/iptables-legacy
sudo update-alternatives --set ip6tables /usr/sbin/ip6ta

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

醉一心

关注关注

2
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

@docker error :docker: Error response from daemon: failed to create shim: OCI runtime create failed:

alston_ethannical的博客

11-12

6130

问题描述 docker: Error response from daemon: failed to create shim: OCI runtime create failed: container_linux.go:380: starting container process caused: error adding seccomp filter rule for syscall clone3: permission denied: unknown.

docker 网络不好用 docker: Error response from daemon: failed to create endpoint jovial_wing on network b

夫君子之行,静以修身,俭以养德,非淡泊无以明志,非宁静无以致远.

12-28

3936

启动容器时，有可能会遇到如下问题，比如启动redis容器： sudo docker run -d -p 6379:6379 --name redis redis:latest Linux代码收藏代码 docker: Error response from daemon: failed to create endpoint redis on network bridge: iptables...

参与评论您还未登录，请先登录后发表或查看评论

ubantu 启动docker报错 Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker

xufengnian_boke的博客

09-28

1307

在windows 10 上通过 Ubuntu 18.04 测试docker，在终端执行sudo docker start 之后报错 Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running? 之后查看/var/log/docker.log有以下报错： failed to create NAT chain DOCKER: iptables failed: iptables -

Docker容器健康检查

SongyangJi

06-09

933

Docker容器健康检查

wsl中迁移ubuntu24.04后docker后无法启动的问题

最新发布

qq_40224400的博客

04-09

814

我将外网wsl2中的Ubuntu24.04迁移到内网（无网络）电脑中，发现原本安装的docker无法启动，在使用重新安装后依然不行。

银河麒麟V10桌面版Docker启动报错：failed to create NAT chain DOCKER: iptables failed

m0_64469199的博客

10-07

2591

Docker 之前创建的 iptables 规则可能导致冲突。可以尝试清除这些规则并重新启动 Docker。这个错误通常与 Docker 无法创建必要的 iptables 链有关。

记一次docker报错 Failed to start LSB: Create lightweight, portable, self-sufficient containers..

banliyaoguai的博客

08-14

1834

如果无法访问就挂一个代理，ubuntu有个工具proxychains，下载proxychains后，在这里/etc/proxychains.conf配置代理，将你的代理添加到最后一行。今天安装docker后安装了一下docker-compose,然后发现docker无法启动了查看一下报错日志。使用代理执行这个刚刚下载下来的东西，因为在执行的时候会访问一些网站需要代理。然后如果想要使用代理的话就在命令前加上proxychains，如下。然后docker就可以正常使用了。经过查询按以下方法解决。

菜鸟笔记--docker: Error response from daemon: failed to create endpoint vigorous_euclid on network......

中华田园巨龙

08-05

4756

安装docker后第一次执行sudo docker run hello-world,出现如下报警。 root@renesas:~# sudo docker run hello-world Unable to find image 'hello-world:latest' locally latest: Pulling from library/hello-world 256ab8fe8778: Pull complete Digest: sha256:49a1c8800c94df04e9658809b0

docker 启动 failed to create NAT chain DOCKER: Iptables not found

记录学习生活的点滴(Linux运维、java)

04-01

7711

docker 启动时报错 Job for docker.service failed because the control process exited with error code. See "systemctl status docker.service" and "journalctl -xe" for details. 使用journalctl -fu docker 查看详细信息 ar 31 17:47:29 139.129.11.171 dockerd[8051]: Error star

error obtaining controller instance: failed to create NAT chain

勿忘初心

11-14

8344

操作系统版本： CentOS Linux release 7.4.1708 (Core) 内核版本： Linux 554735 3.10.0-514.26.2.el7.x86_64 #1 SMP Tue Jul 4 15:04:05 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux docker 版本： Client: Version: 17.06.0...

docker错误【Failed to start Docker Application Container Engine.】

xu98的博客

08-24

5949

参考https://blog.youkuaiyun.com/frdevolcqzyxynjds/article/details/106516390 systemctl status docker.service 和sudo apt install docker.io安装命令都出一样的错 j查看： cat /etc/docker/daemon.json 这是docker的镜像源设置文件文件中只能有缩进，不能有空格，否则报错！示例如下镜像源 Docker 官方中国区 https://regi...

docker报错：iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 8088 -j DNAT --to-d

qq_45225798的博客

09-10

1114

今天在使用docker部署war包时不管怎么更改命令都会报错，多次过后能确定自己的命令一点问题都没有（改用最简单的命令运行都失败），于是就觉得是docker的问题。解决方案：重启docker systemctl restart docker 完美解决：记录一下 ...

Docker 启动失败Starting docker (via systemctl): Job for docker.service failed

weixin_33735077的博客

11-01

1282

Starting docker (via systemctl): Job for docker.service failed. See 'systemctl status docker.service' and 'journalctl -xn' for details.[FAILED] 解决办法： yum install device-mapper-devel fixed thi...

debian下安装docker报错iptables failed以及docker不用root运行的处理-docker常用命令集合-vim粘贴代码时递归缩进的问题

本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。

09-13

1514

使用root启动docker不是一个安全的操作，默认情况下docker与Docker引擎服务的通迅是通过Unix socket实现，而只有root用户和docker组的用户才可以访问Docker引擎的Unix socket。docker安装的官方文档：https://docs.docker.com/v17.12/install/linux/docker-ce/debian/#install-docker-ce-1。19、docker info 显示 Docker 系统信息，包括镜像和容器数。

猫头虎分享已解决Bug || Failed to start docker.service: Unit not found. 解决方案

虎头金猫：授渔优于赠鱼，兴趣引领智慧，探索之乐尤显珍贵。商务合作+：Libin9iOak ，万粉变现+：优快云WF，虎哥承诺每年免费为100名C站创作者做账号流量诊断服务！

08-10

1490

分享技术教程、bug解决思路、开发工具教程、前沿科技资讯、产品评测图文、产品使用体验图文、产品优点推广文稿、产品横测对比文稿，以及线下技术沙龙活动参会体验文稿。这是一个困扰了许多运维小伙伴的问题，尤其是在部署Docker时，突然发现服务无法启动。未来，更多的运维工作将围绕容器管理展开，而系统服务管理器和容器服务的协作将成为运维人员需要重点掌握的技能。的问题不仅需要我们对系统和Docker的配置有深入的了解，还需要对Linux系统服务管理器有一定的认识。首先，我们需要确保Docker已正确安装。

启动docker容器报错iptables failed: iptables --wait -t nat -A DOCKER

小小关的博客

09-26

1256

【代码】启动docker容器报错iptables failed: iptables --wait -t nat -A DOCKER。

docker 启动问题：iptables failed:No chain/target/match by that name.

weixin_45428910的博客

03-29

492

docker 启动问题：iptables failed:No chain/target/match by that name.

启动docker报错：iptables failed

Meng

11-05

3302

启动docker报错内容： iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 10241 -j DNAT --to-destination 172.17.0.2:50000 ! -i docker0: iptables: No chain/target/match by that name. (exit status 1) 解决方案：重启docker systemctl restart docker .

dockerd[9632]: failed to start daemon: Error initializing network controller: error obtaining controller instance: failed to register "bridge" driver: failed to create NAT chain DOCKER: iptables failed: iptables --wait -t nat -N DOCKER: iptables v1.8.2 (n

03-22

### 问题分析 Docker 守护进程启动失败的原因在于无法初始化网络控制器，具体表现为未能成功创建 NAT 链 `DOCKER`。此错误通常由以下几个方面引起： 1. **iptables 表不存在**：可能由于内核模块未加载或配置不正确导致 `nat` 表不可用[^1]。 2. **权限不足**：某些情况下，运行 Docker 的用户缺少必要的权限来操作防火墙规则[^2]。 3. **WSL2 或虚拟化环境中的兼容性问题**：在 WSL2 中使用 Debian 或其他 Linux 发行版时，可能会遇到类似的网络配置冲突。 --- ### 解决方案 #### 方法一：检查并加载必要内核模块确保以下内核模块已加载： ```bash lsmod | grep -e br_netfilter -e nf_nat -e iptable_nat ``` 如果上述命令返回为空，则需手动加载这些模块： ```bash sudo modprobe br_netfilter sudo modprobe nf_nat sudo modprobe iptable_nat ``` 验证加载状态： ```bash lsmod | grep -e br_netfilter -e nf_nat -e iptable_nat ``` 若仍存在问题，可尝试永久启用这些模块，在 `/etc/modules-load.d/` 下新建文件（如 `docker-modules.conf`），并将以下内容写入其中： ```plaintext br_netfilter nf_nat iptable_nat ``` 重启系统以应用更改。 --- #### 方法二：调整 Docker 网络设置编辑 Docker 的服务配置文件（通常是 `/etc/docker/daemon.json`）。如果没有该文件则可以创建它，并加入如下内容： ```json { "iptables": false, "ip-forward": true, "bridge": "none" } ``` 这一步的作用是禁用 Docker 自动管理的 `iptables` 规则，从而减少潜在冲突。保存后重新加载 Docker 配置和服务： ```bash sudo systemctl daemon-reload sudo systemctl restart docker ``` 查看日志确认是否正常启动： ```bash journalctl -u docker.service ``` --- #### 方法三：排查 WSL2 特定问题对于基于 WSL2 的环境，可能存在 Hyper-V 虚拟交换机与 Docker 网络桥接器之间的冲突。可以通过以下方式修复： 1. 更新 WSL 和相关组件至最新版本： ```bash wsl --update ``` 2. 删除现有的 Docker 数据目录并重置其存储驱动程序： ```bash sudo service docker stop rm -rf /var/lib/docker/ sudo dockerd --storage-driver=overlay2 & ``` 3. 如果仍然存在 NAT 创建失败的情况，考虑切换到静态 IP 地址分配模式。修改 WSL2 的网络适配器属性，或者通过 PowerShell 执行以下脚本强制指定子网范围： ```powershell wsl --shutdown New-NetIPAddress -IPAddress 192.168.x.y -PrefixLength 24 -InterfaceIndex $(Get-NetAdapter | Where-Object {$_.Name -like "*vEthernet (WSL)*"}).ifIndex ``` 最后再次测试 Docker 是否能够顺利启动。 --- ### 总结以上方法涵盖了从基础层面（内核模块）到高级场景（WSL2 环境优化）的不同解决方案。实际执行过程中应优先按照顺序逐一排除可能性，直至找到根本原因并解决问题。 ---