firewalld防火墙开启后无法启动docker问题及解决

更新时间：2025年12月13日 14:23:45 作者：西西o

文章描述了在Linux上开启或重启防火墙后,创建docker自定义网络时出现的错误,原因是firewalld和docker在操作iptables时发生了冲突,文章提供了两种解决办法：1. 重启Docker服务；2. 让Docker绕过firewalld

1、错误场景和现象

linux开启或重启防火墙后，创建docker自定义网络时

docker network create --driver bridge --subnet 192.168.0.0/16 --gateway 192.168.0.1 frayernet

报错：[root@VM-16-5-centos home]# docker network create --driver bridge --subnet 192.168.0.0/16 --gateway 192.168.0.1 frayernet
Error response from daemon: Failed to Setup IP tables: Unable to enable SKIP DNAT rule: (iptables failed: iptables --wait -t nat -I DOCKER -i br-3d8c7623fb81 -j RETURN: iptables: No chain/target/match by that name.
(exit status 1))

如下：

[root@VM-16-5-centos home]# docker network create --driver bridge --subnet 192.168.0.0/16 --gateway 192.168.0.1 frayernet
Error response from daemon: Failed to Setup IP tables: Unable to enable SKIP DNAT rule: (iptables failed: iptables --wait -t nat -I DOCKER -i br-3d8c7623fb81 -j RETURN: iptables: No chain/target/match by that name.
(exit status 1))

2、原因分析

Docker属于容器化技术，如果宿主机防火墙的状态发生了改变，Docker就无法设置容器的IP了

测试尝试启动一个已经存在的mysql容器

[root@VM-16-5-centos conf]# docker start c092

同样会出现错误：

Error response from daemon: driver failed programming external connectivity on endpoint mysql5.7-cdcs-cd (ac43ff409d232efe3eace11b5f2b9d08b8f98c949e7fb43323bc289240560e38): (iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 3306 -j DNAT --to-destination 172.17.0.3:3306 ! -i docker0: iptables: No chain/target/match by that name.
(exit status 1))
Error: failed to start containers: c092

3、解决办法

1、输入命令service docker restart重启以下Docker即可

[root@VM-16-5-centos home]# service docker restart

出现次问题的原因：

irewall的底层是使用iptables进行数据过滤，建立在iptables之上，而docker使用iptables来进行网络隔离和管理，这可能会与 Docker 产生冲突。

当 firewalld 启动或者重启的时候，将会从 iptables 中移除 DOCKER 的规则，从而影响了 Docker 的正常工作。

也就是说，firewalld和docker都在操作iptables的规则，但是docker和firewalld发生了冲突，导致docker和firewall的设置的不一致，所以出现了问题。

2、让Docker 绕过了 firewalld

我们让docker不修改 iptables 就可以解决问题了：

##修改docker配置
vim /etc/docker/daemon.json
 
# 添加规则
{
...
"experimental" : true,
"iptables": false
}
 
# 重启 docker
systemctl daemon-reload
systemctl restart docker
 
# 启动容器
docker run -d -p 80:80 nginx
# 查看iptables规则 发现 docker 没有添加规则
iptables --list

总结

以上为个人经验，希望能给大家一个参考，也希望大家多多支持脚本之家。

您可能感兴趣的文章:

docker部署Gitlab全过程
文章介绍了如何拉取GitLab Docker镜像、首次登录获取默认密码、修改密码、配置SSH Key、生成SSL证书以及测试SSH方式拉取代码的过程
2025-12-12
K3s离线部署全过程
部署K3s集群需关闭防火墙/SELinux,安装Docker,配置主机解析与主机名,上传安装包,主节点安装后调整nodeport范围并生成Token,节点加入集群后将身份改为Worker,最终验证集群状态
2025-09-09
Docker镜像上传到阿里云的步骤详解
本篇文章主要介绍了Docker镜像上传到阿里云的步骤详解，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2017-09-09
Docker利用busybox创建基础镜像(base image)
今天小编就为大家分享一篇关于Docker利用busybox创建基础镜像(base image)，小编觉得内容挺不错的，现在分享给大家，具有很好的参考价值，需要的朋友一起跟随小编来看看吧
2018-12-12
Docker compose安装部署创建自定义网络使用举例
这篇文章主要为大家介绍了Docker compose安装部署创建自定义网络使用举例,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
2023-09-09
详解Docker在哪里保存日志文件
本文主要介绍了Docker在哪里保存日志文件，文中通过示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2021-12-12
快速安装openshift的步骤详解
今天小编就为大家分享一篇关于快速安装openshift的步骤详解，小编觉得内容挺不错的，现在分享给大家，具有很好的参考价值，需要的朋友一起跟随小编来看看吧
2018-12-12
docker system命令集合的使用
本文主要介绍了docker system命令集合的使用，主要包括清理没有使用的数据，包括镜像数据，已经停止的容器等等，具有一定的参考价值，感兴趣的可以了解下
2021-10-10
docker安装git教程,解决clone地址端口错误的问题
这篇文章主要介绍了docker安装git教程,解决clone地址端口错误的问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
2025-06-06
如何使用Docker部署briefing视频聊天系统
briefing是一个开源的、安全的直接视频群聊平台，这篇文章主要介绍了使用Docker部署briefing视频聊天系统的详细过程,需要的朋友可以参考下
2024-01-01