标题:
01 现象
同一容器内:
curl 192.168.100.8:8076立即返回 HTTP/1.1 404 —— 网络通curl 192.168.100.8:9003一直卡在* Trying 192.168.100.8:9003...直到超时 —— 网络不通
宿主机(192.168.100.8)本地执行curl localhost:9003正常,所以服务确定在跑。
02 快速定位思路
能 ping 能解析 ≠ 能建 TCP
容器里ping与getent hosts都 OK,排除 DNS 与三层路由大问题。抓包看 SYN 有没有回包
tcpdump -i any host 192.168.100.8 and port 9003
只看到 SYN,没有 SYN-ACK → 包被目标主机丢弃。端口差异对比
8076 通、9003 不通,说明网络链路(Docker 网桥 → 宿主机转发 → 物理交换机)没问题,问题只出在 9003 端口本身。
03 根因
登录 192.168.100.8 查看监听与防火墙:
ss -ltnp|grep9003# 返回 0.0.0.0:9003 已监听 → 进程正常sudoiptables -nvL INPUT|grep9003# 空空如也 → 没放行INPUT 链默认 DROP 掉了 9003 的入站流量。
04 一键修复
# 在目标主机(192.168.100.8)执行sudoiptables -I INPUT -p tcp --dport9003-j ACCEPT# 永久生效sudoaptinstalliptables-persistent -ysudonetfilter-persistent save回容器再测:
curl-v http://192.168.100.8:9003/# < HTTP/1.1 200 OKRustFS 日志也不再出现Connect timeout on endpoint URL: http://192.168.100.8:9003/...。
05 小结
- 容器侧超时 80% 是四层被拦,不是 Docker 本身问题。
- “能通 A 端口,不能通 B 端口”是最直观的拆分法:网络层已通,就看监听地址 + 本地防火墙。
- 记住三步:
ss -ltnp确认监听范围iptables -nvL看 DROP 计数- 加一条
-I INPUT ... ACCEPT验证
把这条命令收藏起来,下次 30 秒就能判定位似问题。
