Firewalld

  • Published on
    这个问题其实 docker 和 podman 都存在。 当前版本的 docker 采用 iptables 动态创建和销毁规则, 而 podman 则通过[CNI](https://github.com/containernetworking/cni) 插件配置, 可以使用 firewalld 作为backend. 由于容器的特性-- 随时创建,随时销毁。 这二者添加的 iptables 规则自然也都是动态的。这里有个问题是,如果一些其它服务执行了 flush 操作把iptables 规则清空了,则bridge网络的容器端口转发就会失效, 因为我们通过 `-p` 来映射端口,实际上是在 iptables 的 nat 表里创建了转发规则。 ...