【踩坑记】WSL1 下 Docker 报错 iptables: No chain/target/match by that name 排查实录
这是一篇为你整理的“踩坑记”,还原了从报错、排查到发现核心原因并解决的全过程。
【踩坑记】WSL1 下 Docker 报错iptables: No chain/target/match by that name排查实录
1. 背景与环境
今天在 WSL (Ubuntu 24.04) 环境下部署 Dify 项目,执行启动命令时遭遇 Docker 网络初始化失败。整个过程一波三折,最终发现是因为 WSL 版本过低导致的兼容性问题。
2. 报错现场
在项目目录下执行docker compose up,容器启动报错:
yan@DESKTOP-73KF9NM:~/dify/dify-1.11.2/docker$ docker compose up WARN[0000] No services to build [+] up 1/1 ✘ Network docker_default Error Error response from daemon: Failed to Setup IP tables: Unable to enable NAT rule: (iptables failed: iptables ... 4.8s failed to create network docker_default: Error response from daemon: Failed to Setup IP tables: Unable to enable NAT rule: (iptables failed: iptables --wait -t nat -I P OSTROUTING -s 172.18.0.0/16 ! -o br-71e21476f69d -j MASQUERADE: iptables: No chain/target/match by that name.核心错误信息:iptables: No chain/target/match by that name.
这通常意味着 Docker 尝试配置 Linux 内核的网络防火墙规则(NAT)时,找不到对应的内核模块或支持。
3. 排查过程
第一步:检查 Docker 版本与状态
首先怀疑是 Docker 安装不完整或版本问题,查看版本和信息:
$ docker version Client: Docker Engine - Community Version: 29.1.4 ... Server: Docker Engine - Community Engine: Version: 29.1.4 ...Docker 版本非常新(29.1.4),服务端也是正常运行的。再看docker info,发现Firewall Backend设置为iptables。
第二步:检查内核版本
注意到docker info输出中的这一行:
Kernel Version: 4.4.0-19041-Microsoft这个内核版本看起来很旧(4.4.x),且带有Microsoft标识。此时终端随后崩溃退出:
适用于 Linux 的 Windows 子系统实例已终止。这一现象结合内核版本,让人开始怀疑 WSL 的运行模式问题。
4. 真相大白
回到 Windows PowerShell 查看 WSL 的发行版状态:
PS C:\Users\Administrator> wsl -l -v NAME STATE VERSION * Ubuntu-24.04 Running 1找到根因了!
当前的 Ubuntu-24.04 正在WSL 1模式下运行(VERSION 为 1)。
WSL 1 只是一个翻译层,使用的是 Windows 内核,并非真正的 Linux 内核。Docker 强依赖于 Linux 内核的 Netfilter/IPtables 模块来实现网络通信,而 WSL 1 对这些特性的支持非常有限或不完整,因此导致 Docker 无法创建 NAT 规则。
5. 解决方案
必须将 WSL 发行版升级到WSL 2。WSL 2 拥有真正的 Linux 内核,能够完美支持 Docker 的网络特性。
步骤 1:启用虚拟机平台
在 PowerShell(管理员)中执行:
PS C:\Users\Administrator> dism.exe /online /enable-feature /featurename:VirtualMachinePlatform /all /norestart步骤 2:转换发行版版本
尝试将 Ubuntu-24.04 转换为版本 2。
第一次尝试时报错提示内核组件需要更新:
PS C:\Users\Administrator> wsl --set-version Ubuntu-24.04 2 正在进行转换,这可能需要几分钟时间... WSL 2 需要更新其内核组件。有关信息,请访问 https://aka.ms/wsl2kernel根据提示安装好 WSL 2 内核更新包后,再次执行转换命令:
PS C:\Users\Administrator> wsl --set-version Ubuntu-24.04 2 正在进行转换,这可能需要几分钟时间... 有关与 WSL 2 的主要区别的信息,请访问 https://aka.ms/wsl2步骤 3:验证结果
确认版本已变为 2:
PS C:\Users\Administrator> wsl -l -v NAME STATE VERSION * Ubuntu-24.04 Stopped 26. 总结与反思
再次进入 WSL 环境,执行docker compose up,问题顺利解决。
经验教训:
在 Windows 上使用 Docker 时,必须使用 WSL 2。
- WSL 1:由于缺少真实的 Linux 内核,无法支持 Docker 的网络特性(iptables/NAT),会导致
No chain/target/match等诡异报错。 - WSL 2:基于 Hyper-V 虚拟化技术,内置真实 Linux 内核,是 Docker Desktop 或 Docker Engine in WSL 的唯一正确选择。
以后遇到Kernel Version: 4.4.0-19041-Microsoft或 iptables 相关报错,第一时间检查wsl -l -v。