docker容器內提供服務并監聽8888端口，要使外部能夠訪問，需要做端口映射。

docker run -it --rm -p 8888:8888 server:v1

此時出現問題，在虛機A上部署后，在A內能夠訪問8888端口服務，但是在B卻不能訪問。

這應該是由于請求被攔截。

一、查看firewall-cmd --state

如果輸出的是“not running”則FirewallD沒有在運行，且所有的防護策略都沒有啟動，那么可以排除防火墻阻斷連接的情況了。

如果輸出的是“running”，表示當前FirewallD正在運行，需要再輸入下面的命令查看現在開放了哪些端口和服務：

firewall-cmd --list-ports firewall-cmd --list-services

解決方案有兩種：

1.關閉FirewallD服務：

如果您不需要防火墻，那直接關掉FirewallD服務就好了

systemctl stop firewalld.service

2.添加策略對外打開指定的端口：

比如我們現在要打開對外5000/tcp端口，可以使用下面的命令：

firewall-cmd --add-port=5000/tcp --permanent firewall-cmd --reload

如果只是臨時打開端口，去掉第一行命令中的“–permanent”參數，那么當再次重啟FirewallD服務時，本策略將失效。

二、ip轉發沒有打開

sysctl net.ipv4.ip_forward

顯示net.ipv4.ip_forward=0則表示未打開。

三、service iptables打開并攔截了

可關閉service iptables

service iptables stop

若docker run時出現錯誤：

iptables: No chain/target/match by that name.

則只需重啟docker服務即可

service docker restart

或者：

#設置iptables防火墻為開機啟動項
systemctl enable iptables.service

#啟動防火墻使配置文件生效
systemctl start iptables.service

#停止防火墻
systemctl stop iptables.service

#重啟防火墻使配置文件生效
systemctl restart iptables.service

最終版本：

啟動docker并進行端口映射后，docker會在iptables中添加DNAT規則，將收到的對應端口的包轉換ip并進行轉發，同時添加規則將所有來自docker網域的ip進行轉換。

但是在Centos7上出現docker可以正常訪問外網，但是外網發出的請求在經過eth1接收轉發后送達不到docker0，或者送到卻出現（oui Unknown）的狀況。暫時不清楚這到底是為什么經過DNAT后無法送達docker0.

最終解決辦法是在啟動docker后，重啟iptables

service iptables restart

清空docker添加的所有規則，而后添加規則

iptables -t nat -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE

將所有來自docker的包172.17.0.0/16的ip替換為本機ip并發送，以達到docker訪問外網的目的。

總結

以上是生活随笔為你收集整理的docker 端口映射 及外部无法访问问题：开启IP转发从而解决的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。