核心是让Docker与firewalld共存而非互斥:通过DOCKER-USER链做前置过滤、禁用firewalld清空Docker规则、配置Docker使用非冲突网段,并明确分工——firewalld管宿主机对外策略,Docker自主维护容器网络规则。
核心思路是让 Docker 和 firewalld 各司其职,不互相覆盖规则。关键不是关掉谁,而是明确分工:firewalld 管宿主机对外策略,Docker 自己的网络规则(尤其是端口映射和容器通信)由它自己维护,且不被 firewalld 清除。
Docker 从 17.06 版本起预留了 DOCKER-USER 这条 iptables 链,它在所有 Docker 自动规则之前执行,且 firewalld 不会动它。所有你想加的、针对容器流量的访问控制,都应该写在这里。
iptables -I DOCKER-USER 插入顶部,不能用 -A 追加iptables -I DOCKER-USER -s 203.0.113.45 -p tcp --dport 8080 -j ACCEPTiptables -I DOCKER-USER -p tcp --dport 8080 -j DROP
iptables -I DOCKER-USER -s 192.168.5.0/24 -j DROP
默认情况下,firewalld 重启时会清空整个 iptables,这是冲突根源。需告诉 firewalld “别碰 Docker 的链”:
/etc/firewalld/firewalld.conf
FirewallBackend 改为 nf_tables(如系统支持)或确保 FlushAllOnReload=yes 被设为 no
/etc/firewalld/direct.xml,加入:<chain ipv="ipv4" table="filter" chain="DOCKER-USER"/><chain ipv="ipv4" table="nat" chain="DOCKER"/>
firewall-cmd --reload
如果环境严格要求 firewalld 完全主导,可让 Docker 放弃管理 iptables(适用于仅需本地测试或已用其他方式做端口暴露的场景):
/etc/docker/daemon.json,添加:{"iptables": false}
systemctl restart docker
firewall-cmd 开放对应端口:firewall-cmd --permanent --add-port=8080/tcpfirewall-cmd --reload
docker run -p 仍能绑定端口,但不会做 DNAT,外部访问需走宿主机 IP + 手动开放端口firewalld 和 Docker 冲突常被误认为纯规则问题,其实底层网段重叠也会导致路由混乱(比如宿主机本身在 172.17.0.0/16 网段):
ip a | grep inet
docker0 默认网段(172.17.0.0/16)重叠,立即修改 Docker 网桥地址/etc/docker/daemon.json 中指定非冲突网段:{"bip": "10.200.0.1/24", "default-address-pools": [{"base": "10.200.1.0/24", "size": 24}]}
ip a show docker0 应显示新地址30分钟实现自己的AI聊天机器人:SpringBoot接入DeepSeek API
AI 从“会聊天”到“会做事”——Skill 怎样做到的?
Node.js spawn 实现了迷你 Cursor 自动化终端|子进程完整解析
Agent Skill MCP 到底是什么关系:零基础小白也能看懂的三层拆解
TID质量竞争大会分享议题丨中国平安人寿蔡雪:AI 编码时代 UI 自动化测试智能化演进之路
Agent Skill MCP 到底什么关系:零基础小白也能看懂的三层拆解