docker - 如果不在localhost代理-> vpn上，则docker-compose端口转发不起作用-6ren

docker - 如果不在localhost代理-> vpn上，则docker-compose端口转发不起作用

转载作者：行者123 更新时间：2023-12-02 19:52:33

我真的无法理解为什么在同一主机上一切正常，但是端口在主机外部进行了过滤(即使在同一主机上的虚拟机上也处于桥接模式)


services:
  vpn:
    build: ./openvpn
    # cap_add, security_opt, and volume required for the image to function
    cap_add:
      - net_admin
    environment:
      OPENVPN_USERNAME: 'XXXXXX'
      OPENVPN_PASSWORD: 'XXXXXXXX'
      OPENVPN_PROVIDER: 'XXXXXXXXXXX'
      OPENVPN_CONFIG: 'Amsterdam'
      SQUID_EXT_PORT: "3001"
    networks:
      - dockerproxy

    sysctls:
      - net.ipv6.conf.all.disable_ipv6=0
    read_only: true
    tmpfs:
      - /run
      - /tmp
    restart: unless-stopped
    security_opt:
      - label:disable
    stdin_open: true
    tty: true
    ports:
      - "0.0.0.0:${SQUID_EXT_PORT:-3001}:3128"
    volumes:
      - /dev/net:/dev/net:z
      - /config
  squid:
    build: ./squid
    environment:
      SQUID_VERSION: '3.5.27'
      SQUID_CACHE_DIR: '/squid/var/cache/squid'
      SQUID_LOG_DIR: '/var/log/squid'
      SQUID_USER: 'proxy'
    tty: true
    network_mode: service:vpn
    volumes:
      - /srv/docker/squid/cache:/squid/var/cache/squid
    restart: unless-stopped

networks:
  dockerproxy:
    external:
      name: dockerproxy

我检查端口是否打开

netstat -tulpn | grep 3001
tcp6       0      0 :::3001                 :::*                    LISTEN      -

CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS                   PORTS                    NAMES
cba39f7e94dc        amsterdam_squid     "/sbin/entrypoint.sh"    9 minutes ago       Up 9 minutes                                      amsterdam_squid_1
2856f2bb2b7c        amsterdam_vpn       "/usr/local/bin/open…"   9 minutes ago       Up 9 minutes (healthy)   0.0.0.0:3001->3128/tcp   amsterdam_vpn_1

我怀疑这可能是docker daemon iptables配置，由于我对它们不太自信，所以我没有更改。

sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain /* managed by anbox-bridge */
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain /* managed by anbox-bridge */
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:bootps /* managed by anbox-bridge */
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootps /* managed by anbox-bridge */

Chain FORWARD (policy DROP)
target     prot opt source               destination         
DOCKER-USER  all  --  anywhere             anywhere            
DOCKER-ISOLATION-STAGE-1  all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
DOCKER     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
DOCKER     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             /* managed by anbox-bridge */
ACCEPT     all  --  anywhere             anywhere             /* managed by anbox-bridge */
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
DOCKER     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain DOCKER (3 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             172.28.0.2           tcp dpt:3128

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
target     prot opt source               destination         
DOCKER-ISOLATION-STAGE-2  all  --  anywhere             anywhere            
DOCKER-ISOLATION-STAGE-2  all  --  anywhere             anywhere            
DOCKER-ISOLATION-STAGE-2  all  --  anywhere             anywhere            
RETURN     all  --  anywhere             anywhere            

Chain DOCKER-ISOLATION-STAGE-2 (3 references)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere            
RETURN     all  --  anywhere             anywhere            

Chain DOCKER-USER (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere

没有人能比我找到在同一主机上进行代理的原因:

nmap localhost -p 3001

Starting Nmap 7.60 ( https://nmap.org ) at 2020-01-10 17:06 CET
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00023s latency).

PORT     STATE SERVICE
3001/tcp open  nessus

Nmap done: 1 IP address (1 host up) scanned in 0.06 seconds

但不能从另一个主机

map 192.168.1.14 -p 3001
Starting Nmap 7.80 ( https://nmap.org ) at 2020-01-10 10:54 EST
Nmap scan report for 192.168.1.14
Host is up (0.00076s latency).

PORT     STATE    SERVICE
3001/tcp filtered nessus

Nmap done: 1 IP address (1 host up) scanned in 0.26 seconds

我之前从未注意到过这种行为，并且我始终能够访问同一台机器上的所有docker服务，但该代理vpn除外。

最佳答案

问题在于VPN容器并不真正了解托管它的网络。

换句话说，为了使此功能起作用，您必须在VPN容器中添加一条路由(该路由由于network_mode: service:vpn指令而将单独用于网络连接)到发送答复数据包的位置(通常是Docker主机网关)。否则，您的数据包将被简单地丢弃，通常从该数据包进入nmap filtered状态。奇怪的是，数据包甚至无法到达您的鱿鱼服务器，因此该部分将没有日志。这使我离开了很长一段时间，但是实际上数据包没有到达鱿鱼服务器这一事实正在发生，所以我想我是唯一被误导的人。

添加允许您的数据包返回的路由的有效方法是:

/sbin/ip r a "${localNet}" via "${GW}" dev "${INT}"

我从很棒的Docker应用程序中学到的
https://github.com/haugene/docker-transmission-openvpn
您可以在上面的脚本行中找到变量的含义。

关于docker - 如果不在localhost代理-> vpn上，则docker-compose端口转发不起作用，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/59685231/

文章推荐： docker - 如何获取docker镜像的所有可用环境变量？

文章推荐： docker - 将Docker镜像上传到Plesk

文章推荐：适用于 Windows 的 Docker 桌面 - 单个命令窗口

文章推荐： docker - 安装 scikit-image 时没有名为 'numpy' 的模块

MySql 转发/转发
我在正在构建的应用程序中集成了转发系统，但很难弄清楚在同一流中检索帖子和转发的逻辑。我有一个 post_reblog 数据透视表来存储 post_id 和 user_id - 转发该帖子的用户的 I
Apache2 - 子域到端口 -> 转发
好的，由于阅读了数百本手册和说明页但仍然没有得到它，我正处于某个时刻，我觉得自己非常愚蠢。我希望你能帮帮我! 我有一台运行 Ubuntu Server 的服务器。在服务器上，我正在运行 ddclien
java - Servlet 转发
我在我的项目中使用嵌入 jetty 并提出了一些问题。我有这两页: íindex.jsp 结果.jsp 这两个 servlet: 上传搜索在 íindex.jsp 中有一个用于上传文件的表单，上传
c# - 解析电子邮件文本回复/转发
我正在使用 c# asp.net 创建一个基于 Web 的电子邮件客户端。令人困惑的是，各种电子邮件客户端在回复电子邮件时似乎以多种不同方式添加原文。我想知道的是，是否有某种标准化的方式来消除这个
jquery - 限制用户在任何浏览器中刷新和后退，转发
我正在开发一个评估系统，让考生尝试参加考试。因此，呈现问题及其选择的页面是带有 iframe 的页面，在该页面中呈现问题。包含 iframe 的页面包含 JavaScript 计时器。因此，当问题在
Twilio 转发 "Calling Number"
QOTD(每日问题)的 Twilio 新手。我认为这应该是非常基本的，但我似乎找不到答案。我成功地将一个电话号码转发到我的手机上……很简单……但问题是我经营着几家公司，我想将号码转发到我的手机上。问
kubernetes pod 端口暴露/转发
我正在尝试在 pod 上公开一个端口 8080，这样我就可以直接从服务器获取 wget。使用端口转发一切正常(kubectl --namespace jenkins port-forward pods
dns - 带区域文件的 URL 转发
我想转发一个 url，这样如果你在地址栏中输入 www.example.com，你就会被转发到 www.test.com/test.php。我所做的是在我的区域文件中添加了一个 cname 记录。
macos - SSH key 转发
我正在尝试在构建 docker 镜像时克隆一个私有(private) github 存储库。我安装了 docker 18.09.2 并根据 Build secrets and SSH forwardi
grails - 转发 Action 时没有保存？
Grails 2.2.0 我正在探索grails和ajax，也许我是一个狂热的ajax适配器，但是我确实认为它是一个改变游戏规则的人，所以我要走在前面。数据模型是主要细节(1:n)。客户端中的一个表
tumblr - 如何获得评论、转发、喜欢帖子的计数？
Tumblr API似乎不支持帖子的某些细节:评论、转发或点赞的数量。真的没有办法从每个帖子的 Tumblr API 获取这个吗？最佳答案 tumblr API 在报告笔记的方式上非常有限。它可以
javascript - JavaScript 中的新页面/转发
我正在制作一个greasemonkey脚本，我想要一个链接来前进并修改当前的html并允许用户单击返回以转到原始页面。我该怎么做？使用jquery+greasemonkey+javascript。主
c - 转发 "Typedefing"一个结构体
我的包含文件有一个小问题，我已经对我的问题做了一个简化的模型。假设我正在编译一些需要名为的头文件的源代码 header.h 里面有: #ifndef HEADER_INCLUDED #define H
ios - 转发 UIScrollViewDelegate 调用时出现问题
我遇到了一个奇怪的问题。我有一个自定义组件来为我处理 UICollectionView 的布局。该代码是用 Swift 编写的。 class MyCustomCollectionViewHandler
bash - 转发 bash 颜色
有什么方法可以导出命令输出的颜色吗？让我们用一个小例子来解释它: ls -alh --color=auto 将打印目录的彩色内容，而 ls -alh --color=auto | cat 不会打印一
apache - 自定义 mod_jk 转发
我希望能够转发 url，例如 http://external_url.com/auth => http://internal_url.com:8080/app/auth https://externa
tomcat - 转发 Tomcat 请求
我有一个在 nginx 中混合运行 PHP 和 Tomcat 的域。这是它的样子。我在这个站点上有一个域 example.com 我安装了 Wordpress。这完全没有问题。现在我想要的是，当您导航
c++ - 模板化 pimpl 转发
我在一种模板化的层次结构中有一堆相关的指标，看起来像 template struct index{ index w; int x, y; }; template <> struct
java - 用于处理运动数据的快速傅里叶变换算法/库？ (转发)
我之前发布了有关使用Processing与Leap Motion的文章https://www.leapmotion.com/为了构建一个可以检测手颤的应用程序。我相信我需要执行 FFT 才能实现此目的
html - 转发 WebRTC 视频以进行点对点广播
Peer 必须能够转发数据，以便在点对点覆盖(例如 Chord)中进行广播。当每个节点(对等体)接收到数据时，它会将数据转发到其路由表中的所有其他节点，然后这些节点将再次转发相同的数据，直到环中的所有

行者123

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

docker - 如果不在localhost代理-> vpn上，则docker-compose端口转发不起作用