Início / unix / Perguntas / 744165
Accepted
Daniel Walker
Asked: 2023-04-27 04:45:04 +0800 CST

Configurar NAT entre redes Docker

  • 772

Meu objetivo é executar dois contêineres Docker em redes separadas e fazer com que meu host (Ubuntu 22.04) execute o NAT para que a primeira rede possa alcançar a segunda.

Minha configuração:

docker network create network1
docker network create network2

docker run --rm -it --network network1 ubuntu:22.04 bash

# In other terminal
docker run --rm -it --network network2 ubuntu:22.04 bash

O primeiro contêiner tem um endereço de 172.19.0.2 e o segundo tem um endereço de 172.20.0.2.

Executando ip addrem meu host, vejo que as interfaces são br-deadbeefe br-feedbeef, respectivamente.

eu então corro

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -i br-deadbeef -o br-feedbeef -j ACCEPT
iptables -A FORWARD -i br-feedbeef -o br-deadbeef -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -o br-feedbeef -j MASQUERADE

no host como root.

No entanto, ping 172.20.0.2desde o primeiro contêiner não é bem-sucedido. A execução do Wireshark no host mostra o pacote ICMP na br-deadbeefrede indo de 172.19.0.2 para 172.20.0.2, mas não há resposta.

o que estou perdendo?

networking

1 respostas

  1. Best Answer

    A questão são as seguintes iptablesregras:

    Chain FORWARD (policy DROP)
target     prot opt source          destination
DOCKER-USER  all  --  anywhere          anywhere
DOCKER-ISOLATION-STAGE-1  all  --  anywhere          anywhere
...

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
target     prot opt source          destination
DOCKER-ISOLATION-STAGE2  all  --  anywhere          anywhere
...

Chain DOCKER-ISOLATION-STAGE-2 (3 references)
target     prot opt source          destination
DROP       all  --  anywhere        anywhere
...

Chain DOCKER-USER (1 references)
target     prot opt source          destination
RETURN     all  --  anywhere        anywhere

    Se você executar iptablescom a opção verbose ( -v), verá que o DROPalvo abaixo DOCKER-ISOLATION-STAGE-2se refere à br-deadbeefinterface (existe uma DROPregra logo abaixo dela para br-feedbeef).

    Como você adicionou suas regras com -A, elas foram anexadas ao final da cadeia, o que significa que o salto para DOCKER-ISOLATION-STAGE-1e, portanto, para DOCKER-ISOLATION-STAGE-2teve prioridade.

    Uma correção simples seria adicionar suas regras com -I. Isso irá inseri-los no topo da corrente.

    • 0

relate perguntas