安装 Docker 后 CVM 网络中断报错 iptables 冲突怎么解决？

安装 Docker 后 CVM 网络中断报错 iptables 冲突怎么解决？

根据 2026 年 2 月 24 日发布的技术分析，Docker 服务启动时会将 iptables 的 FORWARD 链默认策略强制设为 DROP，这导致 Libvirt 虚拟机发出的流量在还没走到 NAT 规则前就被直接丢弃，执行 sudo iptables -L FORWARD 若看到第一行是 Chain FORWARD (policy DROP) 即可确认中招。

原因分析

Docker 默认启用--iptables=true，会在以下关键位置插入规则：nat 表 PREROUTING 链插入 DNAT 规则实现端口映射，filter 表 FORWARD 链默认插入两条规则允许已建立连接通过并跳转到 DOCKER-USER 和 DOCKER 链。当 Docker 每次重启服务或创建/删除容器时，可能重载自身规则，导致手动写入 INPUT 或 FORWARD 主链的规则丢失或错位。2026 年 3 月 3 日的资料指出，当出现 Error response from daemon: Failed to Setup IP tables: Unable to enable SKIP DNAT rule 报错时，直接指向 Docker 守护进程在初始化或管理容器网络时无法在 iptables 的 nat 表中找到或操作名为 DOCKER 的自定义链。

解决方案

方案一：在 DOCKER-USER 链中放行虚拟机网络（推荐）

遵循 Docker 官方建议，在其专用的 DOCKER-USER 链中为虚拟机网络放行，不要粗暴地修改 FORWARD 链的全局策略。执行以下命令：

sudo iptables -I DOCKER-USER -i virbr0 -j ACCEPT

sudo iptables -I DOCKER-USER -o virbr0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

持久化保存（Arch/Manjaro）：sudo sh -c "iptables-save > /etc/iptables/iptables.rules"。Debian/Ubuntu 系统使用iptables-save > /etc/iptables/rules.v4，CentOS 系统使用iptables-save > /etc/sysconfig/iptables。

方案二：禁用 Docker 自动管理 iptables（高级场景）

将"iptables": false加入/etc/docker/daemon.json，但此时需自行维护全部网络规则，包括容器 NAT 和转发。2025 年 6 月 7 日的资料指出，在启用了 NFTables 的 Linux 系统中运行 Docker 时，常因 Docker 默认使用 iptables 管理网络规则而导致冲突，推荐禁用 Docker 的 iptables 功能，由 NFTables 全权管理容器网络。配置示例：

sudo tee /etc/docker/daemon.json << EOF

{ "iptables": false, "ip6tables": false }

EOF

sudo systemctl restart docker

方案三：清除错误规则并重启 Docker 服务

2024 年 1 月 18 日的资料提供了清除 DOCKER 链错误规则的方法：使用sudo iptables -t nat -F DOCKER清除 DOCKER 链的所有规则，然后运行sudo iptables-restore 重新加载 iptables 规则，最后执行sudo systemctl restart docker重启 Docker 服务。

注意事项

1. 端口绑定冲突：2026 年 2 月 15 日的资料指出，当执行 docker run -d -p 8080:80 启动第二个容器时，终端会抛出 docker: Error response from daemon: driver failed programming external connectivity on endpoint web2(a1b2c3d4): Bind for 0.0.0.0:8080 failed: port is already allocated 错误，需使用sudo ss -tulpn | grep :8080确认占用者。

2. 规则持久化时机：2026 年 3 月 20 日的资料强调，使用 iptables-save 持久化规则后，需确保 Docker 启动前加载，可通过 systemd 依赖或开机脚本实现，否则 Docker 重启后规则可能丢失。

3. 版本兼容性：2023 年 12 月 23 日的测试基于 Docker version 20.10.13, build a224086 和 CentOS Linux release 7.9.2009 (Core)，旧版 Docker 在 5.x 内核上运行可能导致 libcontainer 驱动兼容性错误。

4. 排查顺序：当出现网络不通时，按顺序排查：运行iptables -t nat -vnL PREROUTING查看端口映射是否生效，执行iptables -t filter -vnL FORWARD | grep -E "(DOCKER|DROP|REJECT)"检查是否有提前 DROP 规则拦截容器流量。

参考来源

来源：技术博客 - Docker 与 Libvirt 共存时的网络"断网"大坑:iptables FORWARD 链冲突（2026 年 2 月 24 日发布）

来源：技术指南 - Iptables 在 Docker 容器环境下的规则冲突修复指南（2026 年 3 月 20 日资料）

来源：CSDN 博客 - Docker 容器与 iptables 冲突（2018 年 4 月 13 日资料）

来源：技术文档 - Docker 与 NFTables 冲突终极解决方案（截至 2025 年 6 月 7 日）

原文链接：https://www.zjcp.cc/ask/9763.html