开启调试iptables的内核模块

modprobe nf_log_ipv4
sysctl net.netfilter.nf_log.2

添加iptables trace规则

# raw只在PREROUTING和OUTPUT才有
iptables -t raw -A PREROUTING -p icmp -j TRACE
iptables -t raw -A OUTPUT -p icmp -j TRACE

启动容器后验证

docker run -itd busybox:1.36 sh

tail -f /var/log/messages

从宿主机上ping容器IP
发送流程
OUTPUT->POSTROUTING->docker0->容器网卡
响应流程
容器网卡->docker0->PREROUTING->INPUT

恢复

iptables -t raw -D PREROUTING 1
iptables -t raw -D OUTPUT 1
modprobe -r nf_log_ipv4

参考资料

Linux中调试 iptables

本栏目推荐文章
• iptables 禁止8080端口
• linux iptables在没有域名且网络不通的情况下实现将IP数据包从一个IP地址路由到另一个IP地址
• netfilter 与 iptables
• DockerCompose中重启某个服务时提示: (iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dpor
• linux-firewalld 和iptable的策略配置(nat 以及端口开放)
• centos下Iptables的安装(离线)
• 深入 K8s 网络原理（二）- Service iptables 模式分析
• 记录issue：iptables (legacy): Couldn't load match `comment':No such file or directory\n\nTry `
• iptables 学习
• linux iptables操作

iptablesiptable iptables策略 iptables规则 iptables参数 l-iptables iptables命令 iptables动作 iptables-save netfilter iptables iptables-persistent