《8076 能通 9003 却超时？一次 Docker 容器跨网段排障小记》

标题：

01 现象

同一容器内：

• curl 192.168.100.8:8076立即返回 HTTP/1.1 404 —— 网络通
• curl 192.168.100.8:9003一直卡在* Trying 192.168.100.8:9003...直到超时 —— 网络不通

宿主机（192.168.100.8）本地执行curl localhost:9003正常，所以服务确定在跑。

02 快速定位思路

1. 能 ping 能解析 ≠ 能建 TCP
   容器里ping与getent hosts都 OK，排除 DNS 与三层路由大问题。

2. 抓包看 SYN 有没有回包
   tcpdump -i any host 192.168.100.8 and port 9003
   只看到 SYN，没有 SYN-ACK → 包被目标主机丢弃。

3. 端口差异对比
   8076 通、9003 不通，说明网络链路（Docker 网桥 → 宿主机转发 → 物理交换机）没问题，问题只出在 9003 端口本身。

03 根因

登录 192.168.100.8 查看监听与防火墙：

ss -ltnp|grep9003# 返回 0.0.0.0:9003 已监听 → 进程正常sudoiptables -nvL INPUT|grep9003# 空空如也 → 没放行

INPUT 链默认 DROP 掉了 9003 的入站流量。

04 一键修复

# 在目标主机（192.168.100.8）执行sudoiptables -I INPUT -p tcp --dport9003-j ACCEPT# 永久生效sudoaptinstalliptables-persistent -ysudonetfilter-persistent save

回容器再测：

curl-v http://192.168.100.8:9003/# < HTTP/1.1 200 OK

RustFS 日志也不再出现Connect timeout on endpoint URL: http://192.168.100.8:9003/...。

05 小结

• 容器侧超时 80% 是四层被拦，不是 Docker 本身问题。
• “能通 A 端口，不能通 B 端口”是最直观的拆分法：网络层已通，就看监听地址 + 本地防火墙。
• 记住三步：
  1. ss -ltnp确认监听范围
  2. iptables -nvL看 DROP 计数
  3. 加一条-I INPUT ... ACCEPT验证

把这条命令收藏起来，下次 30 秒就能判定位似问题。