标题:
01 现象
同一容器内:
curl 192.168.100.8:8076立即返回 HTTP/1.1 404 ------ 网络通curl 192.168.100.8:9003一直卡在* Trying 192.168.100.8:9003...直到超时 ------ 网络不通
宿主机(192.168.100.8)本地执行 curl localhost:9003 正常,所以服务确定在跑。
02 快速定位思路
-
能 ping 能解析 ≠ 能建 TCP
容器里
ping与getent hosts都 OK,排除 DNS 与三层路由大问题。 -
抓包看 SYN 有没有回包
tcpdump -i any host 192.168.100.8 and port 9003只看到 SYN,没有 SYN-ACK → 包被目标主机丢弃。
-
端口差异对比
8076 通、9003 不通,说明网络链路(Docker 网桥 → 宿主机转发 → 物理交换机)没问题,问题只出在 9003 端口本身。
03 根因
登录 192.168.100.8 查看监听与防火墙:
bash
ss -ltnp | grep 9003
# 返回 0.0.0.0:9003 已监听 → 进程正常
sudo iptables -nvL INPUT | grep 9003
# 空空如也 → 没放行INPUT 链默认 DROP 掉了 9003 的入站流量。
04 一键修复
bash
# 在目标主机(192.168.100.8)执行
sudo iptables -I INPUT -p tcp --dport 9003 -j ACCEPT
# 永久生效
sudo apt install iptables-persistent -y
sudo netfilter-persistent save回容器再测:
bash
curl -v http://192.168.100.8:9003/
# < HTTP/1.1 200 OKRustFS 日志也不再出现 Connect timeout on endpoint URL: http://192.168.100.8:9003/...。
05 小结
- 容器侧超时 80% 是四层被拦,不是 Docker 本身问题。
- "能通 A 端口,不能通 B 端口" 是最直观的拆分法:网络层已通,就看监听地址 + 本地防火墙。
- 记住三步:
ss -ltnp确认监听范围iptables -nvL看 DROP 计数- 加一条
-I INPUT ... ACCEPT验证
把这条命令收藏起来,下次 30 秒就能判定位似问题。