《8076 能通 9003 却超时?一次 Docker 容器跨网段排障小记》

标题:


01 现象

同一容器内:

  • curl 192.168.100.8:8076 立即返回 HTTP/1.1 404 ------ 网络通
  • curl 192.168.100.8:9003 一直卡在 * Trying 192.168.100.8:9003... 直到超时 ------ 网络不通

宿主机(192.168.100.8)本地执行 curl localhost:9003 正常,所以服务确定在跑。


02 快速定位思路

  1. 能 ping 能解析 ≠ 能建 TCP

    容器里 pinggetent hosts 都 OK,排除 DNS 与三层路由大问题。

  2. 抓包看 SYN 有没有回包
    tcpdump -i any host 192.168.100.8 and port 9003

    只看到 SYN,没有 SYN-ACK → 包被目标主机丢弃。

  3. 端口差异对比

    8076 通、9003 不通,说明网络链路(Docker 网桥 → 宿主机转发 → 物理交换机)没问题,问题只出在 9003 端口本身


03 根因

登录 192.168.100.8 查看监听与防火墙:

bash 复制代码
ss -ltnp | grep 9003
# 返回 0.0.0.0:9003  已监听 → 进程正常
sudo iptables -nvL INPUT | grep 9003
# 空空如也 → 没放行

INPUT 链默认 DROP 掉了 9003 的入站流量


04 一键修复

bash 复制代码
# 在目标主机(192.168.100.8)执行
sudo iptables -I INPUT -p tcp --dport 9003 -j ACCEPT
# 永久生效
sudo apt install iptables-persistent -y
sudo netfilter-persistent save

回容器再测:

bash 复制代码
curl -v http://192.168.100.8:9003/
# < HTTP/1.1 200 OK

RustFS 日志也不再出现 Connect timeout on endpoint URL: http://192.168.100.8:9003/...


05 小结

  • 容器侧超时 80% 是四层被拦,不是 Docker 本身问题。
  • "能通 A 端口,不能通 B 端口" 是最直观的拆分法:网络层已通,就看监听地址 + 本地防火墙
  • 记住三步:
    1. ss -ltnp 确认监听范围
    2. iptables -nvL 看 DROP 计数
    3. 加一条 -I INPUT ... ACCEPT 验证

把这条命令收藏起来,下次 30 秒就能判定位似问题。

相关推荐
SkyWalking中文站20 小时前
认识 Horizon UI · 6/17:Trace 探索器
运维·监控·自动化运维
程序员老赵1 天前
Docker 部署 Redmine:老牌开源项目管理部署实测记录
docker·开源·团队管理
程序员老赵1 天前
服务器文件不想 SFTP 上传?Docker 跑个 File Browser,浏览器就能管理
服务器·docker·开源
火车叼位1 天前
写给初级开发者:SSL、SSH、HTTPS 与证书体系全解析
运维
小猿姐1 天前
唯品会大规模数据库云原生实践:基于 KubeBlocks 管理数千实例的统一运维之路
运维·elasticsearch·云原生
SkyWalking中文站2 天前
认识 Horizon UI · 5/17:3D 基础设施地图
运维·监控·自动化运维
SkyWalking中文站3 天前
认识 Horizon UI · 1/17:SkyWalking 新一代可观测性控制台
运维·前端·监控
雪梨酱QAQ3 天前
Kubeneters HA Cluster部署
运维
lichenyang4533 天前
Docker 学习笔记(五):Docker Compose,用一个 YAML 启动前端、后端和 MongoDB
docker
lichenyang4533 天前
Docker 学习笔记(四):Dockerfile,把项目打成自己的镜像
docker·容器