docker如果使用内部ip建立连接,实际走的是nat
配置可用 iptables -vnL -t nat看(不加-t nat默认是filter table)或iptable-save看
nat指令是 -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
这种连接在主机上用netstat 是看不到的,因为主机只是转发,并没有建立连接
需要使用conntrack看,(yum install conntrack-tools)
conntrack可看所有连接,过虑nat可用 conntrack -L -n
从proc文件也可以看 cat /proc/net/nf_conntrack |grep 443
参考
https://serverfault.com/questions/994272/viewing-nat-connections-with-nftables