网络端口映射的原理

ｄｏｃｋｅｒ有容器内外的端口映射，是怎么做到的呢？这是要起一个新的网络的ｎａｍｅｓｐａｃｅ吧；

启动了docker之后，在docker上面还是有确实是有iptables的项，但是此时应该是有两个网络的ｎａｍｅｓｐａｃｅ吧，使用ip netns list是没有看到的，也就是说其实是在一个网络的ｎａｍｅｓｐａｃｅ中的网络端口的映射；

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  172.17.0.0/16        anywhere            
MASQUERADE  tcp  --  172.17.0.2           172.17.0.2           tcp dpt:1234

Chain DOCKER (2 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            
DNAT       tcp  --  anywhere             anywhere             tcp dpt:32769 to:172.17.0.2:1234

在ｉｐｔａｂｌｅｓ的输出中有如上的两条规则，然后ｄｏｃｋｅｒ会启动一个ｐｒｏｘｙ：

/usr/bin/docker-proxy -proto tcp -host-ip 0.0.0.0 -host-port 32769 -container-ip 172.17.0.2 -container-port 1234

把收到的tcp包透传给容器？

这种端口的映射在内核里做个转化就好了吧？0.0.0.0:32769 --> 172.17.0.2:1234

系统中多了这样一张网卡：

veth485dee9 Link encap:以太网  硬件地址 f2:c6:f3:6c:4f:7a  
          inet6 地址: fe80::f0c6:f3ff:fe6c:4f7a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  跃点数:1
          接收数据包:14 错误:0 丢弃:0 过载:0 帧数:0
          发送数据包:46 错误:0 丢弃:0 过载:0 载波:0
          碰撞:0 发送队列长度:0 
          接收字节:1088 (1.0 KB)  发送字节:4987 (4.9 KB)

这里就是个ｖｅｔｈ设备了，容器内外各有一个，从容器中来的数据直接就导流到了网桥上

＝＝＝＝＝＝＝＝＝＝

启动了多个docker，

ip netns list 看到的内容和 ip netns list-id看到的内容为啥不是一样的？

如果多个容器把自己的都绑定到宿主机的８０８０端口咋样？不能做，本地的端口已经被映射掉了；也就是说，不可能实现，同一台主机两个容器内同时监听８０８０端口；回到原来的问题上，创建一个

ip netns list是从/var/run/netns中去读取内容，但是现在如果没有内容呢？

内核是如何查看网络的参数的？　man ip-netns

ip netns list-id - list network namespace ids (nsid)

              Network namespace ids are used to identify a peer network
              namespace. This command displays nsid of the current network
              namespace and provides the corresponding iproute2 netns name
              (from /var/run/netns) if any.

看下这个命令是干嘛的？　network namespace ids（nsid)　列出系统中所有的ｐｅｅｒ网络ｎｓ，如果这个对等网络有名字，那么会列出名字；所以ip netns list-ｉｄ中所有的明明空间呢；

所以命名空间分为两类：named network namespace  & peer network namespace [不纠结这个小事了，因为从/proc/<pid>/ns/net看确实是不同的网络的命名空间了]

下面看在宿主机上如何完成端口的映射；使用iptables；

想下之前的ｎａｔ的设置，都是在ｐｏｓｔｒｏｕｔｉｎｇ时转换网络的ＩＰ地址，然后在接收到数据包时，系统会用自动生成的ｒｅｖｅｒｓｅ功能把数据包给转回来，这样的话宿主机内的路由就会把这包送给容器内地址了【这里有个小ｇａｐ：宿主机什么时候决定丢包？

ｓｔｅｐ１：收到数据包，发现数据包是本地地址，保留；

ｓｔｅｐ２：然后更换数据包的目的地址；

ｓｔｅｐ３：进入本机的路由；【是哪个参数可以本机路由了呢？ipv4.ip_forward=1?】在协议栈里面是如何处理的呢？是否真的有本机路由这件事情？ 从ｗｉｒｅｓｈａｒｋ看确实是有的，这一点是wuyongzhiyi.

//外面的机器不应该能访问到我本机器上的一台虚拟机，因为这台虚拟机是我内网的，要保护起来，现在的各种ＮＡＴ机制也不支持；但是我这台docker虚拟机是可以对外提供服务的呀；比如所有对1000号端口的访问都引流到我这台机器上就好啦：https://www.cnblogs.com/jjzd/p/6505871.html

作如下试验：网络拓扑结构

树莓派　　　　　　　Ａ：

主机PC　　　　　　　Ｂ:

主机上docker容器：　Ｃ：

sudo iptables -t nat -A PREROUTING -d [Ｂ地址] -p tcp -m tcp --dport 10000 -j DNAT --to-destination 【容器Ｃ地址】:10000

测试时在容器上启动一个服务器监听１００００端口，在主机Ｂ上也启动一个进程监听１００００端口，如果在容器内监听到数据，那么就说明设置成功了。

－－－－－－

说一些题外话，刚才我们发现树莓派其实是ｐｉｎｇ不同我容器的地址的，那么我们能不能ｈａｃｋ一下，通过增加一段路由以及ｉｃｍｐ的配置来让我的树莓派能平通我的容器呢？

 

我们首先来分析下为啥我的容器收不到这个包，是因为我的主机上并没有172.17.0.2这样的一个设备，所以甚至这个包都进入不了路由。。。所有关键的问题还是变成扔包到底发生在哪一步？！

我宿主机根本就不会去应答这个数据包，是因为宿主机上现在没有一个网卡的地址是172.17.0.2，如果想让我的网卡收到包，是不是配置一个附属的ＩＰ地址就可以了？

1) 首先我随便添加了一个一个ｔａｐ０设备在我的机器山，发现ｐｉｎｇ是ｐｉｎｇ通了【注意此时ｔａｐ０上并没有流量】

2) 去掉ｔａｐ０，然后试着在这个网卡上配置多个IP试一下：试过同样可以。。。。但是不知道怎么把这个副网卡给删除掉了；

 

好了，今天算是搞明白了在prerouting处加DNAT是怎么把包导入到容器里的；其实，新手看东西总是想象力丰富，之前自己还在prerouting处我如何能把特定的ＩＰ地址导入到特定的容器，即根据ＩＰ地址路由，。。。这个好像是没有应用场景。。。不，等等，这个不就是负载均衡的实现么，根据ＩＰ地址把流量导入到不同的机器中；这个该咋做？答案：sudo iptables -t nat -I PREROUTING -p tcp -m tcp -j DNAT --to-destination 172.17.0.2　【测试通过，符合预期】

 

///-----刚一眨眼，发现，树莓派竟然和我容器里的地址去通信了，所以这里副网卡的作用真是不得了，他告诉了局域网我能达到的网络的能力

说道这里，一个网卡接收到了数据包怎么还会路由呢。因为有的时候这台机器就是个网卡，是路由器，怎么说？

还是那刚才说我怎么样从树莓派ｐｉｎｇ通我的容器来说，我的目的地址是172.0.0.2，然后我把ＰＣ当成了网关，这个时候奇妙的事情发生了，我的PC机收到了一个网络包，但是这个包的目的地址不是自己，于是这个数据包开始在主机内路由了，路由表发现我所有172.0.0.2的数据包都交给docker网桥发送出去，于是把包发给了网桥bridge0，bridge拿到了数据包之后，网桥就开始在自己的域内广播，广播后发下了我的docker容器里的地址了，所以容器里的网卡就接受这个数据包咯，然后应答，通过网桥发送到主机上，主机根据路由选择出口，加上咱们docker里的SNAT，所以这样就发送出去了。

 

还要一个设置DNAT的地方是OUTPUT规则；OUTPUT规则是本地生成数据包，然后如何重定位