Docker内部对外网络不通解决方案

1
#!/bin/bash
2

3
# ========================
4
# Docker NAT Masquerade 添加脚本（带日志提示）
5
# ========================
6

7
# 要伪装的网段（你的 Docker 网络网段）
8
SUBNET="172.18.0.0/16"
9

10
# ================================
11
# 方式1：最常用 - 不指定出接口（绝大多数情况够用）
12
# ================================
13
echo "[$(date '+%Y-%m-%d %H:%M:%S')] 正在检查/添加 MASQUERADE 规则 (网段: $SUBNET) ..."
14

15
if iptables -t nat -C POSTROUTING -s "$SUBNET" -j MASQUERADE 2>/dev/null; then
16
    echo "[$(date '+%Y-%m-%d %H:%M:%S')] 规则已经存在，无需重复添加 → 跳过"
17
else
18
    if iptables -t nat -A POSTROUTING -s "$SUBNET" -j MASQUERADE; then
19
        echo "[$(date '+%Y-%m-%d %H:%M:%S')] 成功添加 MASQUERADE 规则！"
20
        echo "   → 容器现在应该可以正常访问外网了"
21
    else
22
        echo "[$(date '+%Y-%m-%d %H:%M:%S')] 【错误】添加规则失败！请检查 iptables 是否正常"
23
        exit 1
24
    fi
25
fi
26

27
# ================================
28
# 方式2：更推荐（指定出接口） - 更安全，建议使用
29
#   先自己运行下面这行，得到你的公网网卡名，然后把 eth0 改成你自己的
30
#   ip route get 8.8.8.8 | awk '{print $5; exit}'
31
# ================================
32
# OUT_INTERFACE="eth0"           # ←←← 改成你真正的公网网卡名字！！
33
# echo ""
34
# echo "[$(date '+%Y-%m-%d %H:%M:%S')] 检查/添加 精确版规则 (出接口: $OUT_INTERFACE) ..."
35

36
# if iptables -t nat -C POSTROUTING -s "$SUBNET" -o "$OUT_INTERFACE" -j MASQUERADE 2>/dev/null; then
37
#     echo "   → 精确规则已经存在，无需添加"
38
# else
39
#     if iptables -t nat -A POSTROUTING -s "$SUBNET" -o "$OUT_INTERFACE" -j MASQUERADE; then
40
#         echo "   → 成功添加精确版 MASQUERADE 规则"
41
#     else
42
#         echo "   【错误】添加精确规则失败！"
43
#     fi
44
# fi
45

46
echo ""
47
echo "当前 nat POSTROUTING 规则一览（可快速确认）："
48
iptables -t nat -L POSTROUTING -n -v --line-numbers | grep -i MASQUERADE || echo "（暂未看到 masquerade 规则）"
49
echo ""
50
echo "完成！可以去容器里测试 ping 8.8.8.8 / curl 1.1.1.1"