如何解决如何更正 firewalld 和 docker/nginx 的配置?
我有一个 CentOS 7 服务器,它运行了 600 多天,直到最近重新启动,之后传入的 Web 请求收到 HTTP523(源无法访问)错误代码(通过 Cloudflare,如果这有区别?)除非我停止了 firewalld 服务。没有 firewalld 一切正常,但我不想让它被禁用!
我尝试停止 docker 和 firewalld 并以不同的顺序重新启动它们,但除非停止 523,否则会发生相同的 firewalld 错误。
/var/log/firewalld 包含一些可能有帮助的警告:
WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-8acb606a3b50 -o br-8acb606a3b50 -j DROP' failed: iptables: Bad rule (does a matching rule exist in that chain?).WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i docker0 -o docker0 -j DROP' failed: iptables: Bad rule (does a matching rule exist in that chain?).WARNING: AllowZoneDrifting is enabled. This is considered a n insecure configuration option. It will be removed in a future release. Please consider disabling it now.WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t nat -D PREROUTING -m addrtype --dst-type LOCAL -j DOCKER' failed: iptables v1.4.21: Couldn't load target 'DOCKER':No such file or directoryWARNING: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t nat -D PREROUTING' failed: iptables: Bad rule (does a matching rule exist in that chain?).WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t nat -D OUTPUT' failed: iptables: Bad rule (does a matching rule exist in that chain?)WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t nat -F DOCKER' failed: iptables: No chain/target/match by that name.
我在该地方发现了关于所需的任何手动配置/命令的看似相互矛盾的建议:
firewall-cmd --permanent --zone=trusted --add-interface=docker0on a CentOS forum-
firewall-cmd --zone=trusted --remove-interface=docker0 --permanenton the offical Docker docs -- 这肯定与上述相反吗? -
a bunch of manual
firewall-cmdcommands on a Docker github issue -- 当然不需要所有这些吗? - 这个看起来很有希望 --
nmcli,NetworkManagerandfirewall-cmd --permanent --zone=trusted --change-interface=docker0
我不完全理解 br-8acb606a3b50 接口的来源,或者我是否需要做任何事情来配置它以及 docker0 如果我使用像上面的 4. 这样的解决方案?在重新启动之前,它自动运行了多年!
现在是否需要一些魔法 firewalld 咒语(为什么?!)或者有什么方法可以让系统恢复到重新启动前的正确自动/默认配置?
$ docker -v
Docker version 20.10.5,build 55c4c88
$ firewall-cmd --version
0.6.3
$ firewall-cmd --get-zones
block dmz docker drop external home internal public trusted work
解决方法
回顾一下 chat investigation,这个特殊问题与 Docker 和容器无关。问题在于 firewalld 没有将 NGINX 作为主机上容器的代理运行的规则。解决方案是为 HTTP 和 HTTPS 流量添加永久的 firewalld 规则:
sudo firewall-cmd --permanent --zone=public --add-service=http
sudo firewall-cmd --permanent --zone=public --add-service=https
sudo firewall-cmd --reload
像这样的警告消息:
警告:COMMAND_FAILED:'/usr/sbin/iptables -w10 -D FORWARD -i br-8acb606a3b50 -o br-8acb606a3b50 -j DROP'失败:iptables:错误规则(该链中是否存在匹配规则?)
... 可以在正常操作期间出现,当 Docker 尝试删除规则而不先检查其是否存在时。换句话说,即使有这样的警告,容器也能顺利运行。
,我在使用 Podman 时遇到了一些类似的问题,对我来说,我必须从 Debian 9 升级到 Debian 10 才能修复它,因为 firewalld 处理 iptables 与 nftables 的方式不同。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。