系统环境

• 系统：Centos7
• 防火墙工具：firewalld
• Docker容器：docker容器使用docker默认的网桥（bridge），进行了端口映射

问题描述

在系统防火墙firewalld关闭的状态下，启动了一个docker容器，然后启动了防火墙，发现docker容器中的服务不能访问，然后使用firewall-cmd --zone=public --add-port=8000/tcp --permanent和firewall-cmd --reload命令开放了相应端口，发现仍旧不能访问服务，随即关闭防火墙，发现访问正常。

问题排查

经过查找资料，发现出现此问题的原因是

firewall的底层是使用iptables进行数据过滤，建立在iptables之上，而docker使用iptables来进行网络隔离和管理，这可能会与 Docker 产生冲突。

当 firewalld 启动或者重启的时候，将会从 iptables 中移除 DOCKER 的规则，从而影响了 Docker 的正常工作。

也就是说，firewalld和docker都在操作iptables的规则，但是docker和firewalld发生了冲突，导致docker和firewall的设置的不一致，所以出现了问题。

网上有大概三种解决方案：

1. 关闭防火墙使用（不可取）
2. 使用iptables来代替firewalld
3. 关闭docker服务，然后重启firewalld，然后启动docker服务（经测试不可用）

如果是测试环境或者开发环境，关闭防火墙是一个简便的方法，但是不推荐使用

如果熟悉iptables，用iptables来代理firewalld也不错

但是，firewall的使用起来比较方便，所以倾向于使用firewalld，但是方法3，按照顺序进行重启之后问题不能解决，于是想到了另一个解决办法：

解决办法

先启动防火墙，或者重启防火墙，然后重启docker服务，接着，删除有问题的docker容器，接着重新创建一个docker容器，问题解决