解決Docker容器iptables不能用_ZenDei技術網路在線

解決Docker容器iptables不能用

-Advertisement-

鏡像下載、功能變數名稱解析、時間同步請點擊阿裡雲開源鏡像站準備工作 virtualBox可在官網下載，Ubuntu鏡像可在阿裡雲下載，選擇對應電腦位數的鏡像。開始安裝 1、點擊“新建”按鈕 1.1 設置好安裝目錄、系統類型、系統版本 1.2 分配記憶體可以根據實際情況，且後期可以更改 1.3 默 ...

最近使用frp做跳板遠程運維內網的伺服器，儘管已經屏蔽了海外IP對vps伺服器的訪問，但是總覺得直接暴露遠程管理的埠在互聯網上還是不安全。於是想著用Ocserv做服務端先vpn撥進去在進行運維會安全很多。選擇Ocserv的原因也是因為支持思科的anyconnect客戶端，各大應用市場都不屏蔽比較具有易用性。

然而在Centos8上安裝Docker之後，Docker中再使用Ocserv容器的時候iptables不能正常工作。目前貌似資料不好找，特此做個筆記保留下。

故障描述

附上Docker-Ocserv作者Git：https://github.com/Pezhvak/docker-ocserv我很喜歡這個封裝好的Docker image，當然為了適配也做了一些更改，其中也包括了下文。

該Docker鏡像使用非常小巧的 Alpine Linux，由於VPN撥號之後需要做NAT才可以訪問其他網路中地址，結果抓包看到不正常。進入容器中提示如下。

iptables -L -n
modprobe: can't change directory to '/lib/modules': No such file or directory
iptables v1.8.7 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

作為關鍵詞問搜索引擎之後得到的大多答案有兩個解決問題的方法：

修改Docker容器的許可權：給--privileged許可權。或者擔心許可權過大限定特定許可權：--cap-add NET_ADMIN --cap-add NET_RAW。我已經給了最大的--privileged許可權還是無效。
提示的錯誤信息很明確，找不到對應的內核模塊，讓容器載入iptables相關內核模塊。但是這個方法實際是不靠譜的，因為容器和宿主機共用內核。

於是在搜索了一些相關項目的issues帖子之後找到了根本解決的方法。

文中有人提到：發現宿主機是Centos8，並且容器為alpine:3.10的時候出現了相同問題。原因是Centos8沒有載入iptables需要的內核模塊。該作者通過先執行：sudo modprobe iptable_filter,sudo modprobe iptable_nat之後再開啟alpine容器修複了這個問題。

我在想：我的宿主機Centos8運行的Iptables工作良好呀，怎麼可能沒有載入iptables所需要的內核模塊呢？

再接下來的回帖中找到了答案：原來再存在兩個版本的iptables，他們分別是iptables-nft和iptables-legacy這兩個iptables使用了不同的內核模塊。alpine預設使用的是iptables-legacy而Centos8預設使用的是iptables-nft。因為宿主機沒有載入對應的內核模塊所以容器就無法使用內核模塊就說得過去了。

解決問題：

那麼現在解決問題的方法有兩個了，一個是參照文中提到的手動載入容器中iptables-legacy所需的模塊（該方法我並未驗證使用，擔心對宿主機中已經配置好的iptables產生影響）。

第二個方法也是我在用的方法，將容器啟動腳本中所有的iptables命令，更改為iptables-nft問題完美解決。

iptables-nft -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

# 例如：
iptables-nft -t nat -A POSTROUTING -j MASQUERADE
iptables-nft -A INPUT -p tcp --dport 443 -j ACCEPT
iptables-nft -A INPUT -p udp --dport 443 -j ACCEPT

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

Unsafe類，你知道多少呢？

1，打包項目把項目打成jar 2，配置idea遠程調試我設置的是本地調試，遠程伺服器設置為遠程的伺服器和埠即可。 3，伺服器啟動項目啟動項目： java -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005 - ...
Bootstrap Blazor 組件庫 Row 佈局組件（柵格系統）

原文鏈接：https://www.cnblogs.com/ysmc/p/16133351.html 在 Bootstrap 中，柵格相信大家都很熟悉，簡直就是佈局神器啊，Bootstrap Blazor 組件庫當然毫無意外地支持該功能，並且封裝成了組件，使用更加方便，下麵我們一起來看看吧！首先，這 ...
緩存中間件-Redis(一)

1.Redis介紹 REmote DIctionary Server(Redis) 是一個由Salvatore Sanfilippo寫的 key-value 存儲系統，是跨平臺的非關係型資料庫，Redis 是一個開源的使用 ANSI C 語言編寫、遵守 BSD 協議、支持網路、可基於記憶體、分散式、可 ...
CTS(通用類型系統)

有沒有想過如果我們自己要設計一門編程語言，要做到什麼樣的標準才能符合在.Net平臺下運行的條件呢？.Net在官方描述過一段話，大體的意思變成白話是：只要你的語言在編譯後能夠轉換成CIL代碼，那麼你的語言就可以在.Net平臺下進行開發和運行。 CIL語言之所以能夠在.Net平臺下運行，實際上它是符合了 ...
介紹一款倍受歡迎的.NET 開源UI庫

Metalama是一個基於微軟編譯器Roslyn的元編程的庫，可以解決我在開發中遇到的重覆代碼的問題。但是其實Metalama不止可以提供編譯時的代碼轉換，更可以提供自定義代碼分析、與IDE結合的自定義代碼修複與代碼重構功能等功能。經過面對文檔的學習，發現Metalama可以做到很多非常神奇的事... ...
asp.net core + jenkins 實現自動化發佈

由於部署個人博客系統的伺服器只有2G記憶體，每次利用jenkins編譯，發佈的時候jenkins老是掛，因此新買了一臺輕量應用伺服器，專門用於個人博客系統的持續發佈任務，下麵講解如何利用jenkins實現系統的持續發佈功能。一、安裝Jenkins 我這邊伺服器是Linux CentOS 7 ，使用S ...
Blazor 使用拖放（drag and drop）上傳文件 , 粘貼文件上傳

在很多上傳文件的應用實例中, 都可以看到[拖放文件到此上傳]這種騷功能 ,今天我們就來試試Blazor能不能完成這個想法. 原文鏈接：https://www.cnblogs.com/densen2014/p/16128246.html 簡述HTML5拖放拖放是HTML5標準的一部分，任何元素都能夠 ...
Blazor 修改錯誤提示

執行周期 1. SetParametersAsync 2. OnInitializedAsync（調用兩次）和 OnInitialized； 3. OnParametersSetAsync 或 OnParametersSet； 4. OnAfterRenderAsync 和 OnAfterRend ...

解決Docker容器iptables不能用

故障描述

解決問題：

相關鏈接：