パケットがドロップされたときに記録するようにnftablesを設定しました。 Dockerコンテナ間の通信がブロックされる方法を具体的に説明したいと思います。
ログには次のエントリが表示されます。
IN=br-0353a07849d5 OUT= PHYSIN=veth8e2058a MAC=XXXXX SRC=172.19.0.3 DST=172.17.0.1 LEN=44 TOS=0x00 PREC=0x00 TTL=53 ID=40709 PROTO=TCP SPT=46580 DPT=5432 WINDOW=1024 RES=0x00 SYN URGP=0
なぜOUT=これは空ですか?パケットという意味ですかINPUT?それともどこに行くのかを知る前にブロックするようにするルールだけですか?私はこれがからのパケットであるとFORWARD期待しました。br-0353a07849d5docker0
答え1
172.17.0.1 はホストに属するローカルアドレスです。したがって、パケットは転送されず、br-0353a07849d5INPUT フックのインターフェイスで受信されます。このローカルIPアドレスがに設定されているかどうかdocker0、lobr-0353a07849d5