1、Centos服务器上的防火墙(firewall)没有开放8080端口，但是依然可以访问

服务器开放的端口如下：

重启过防火墙，重启过服务器，仍未解决此现象。真是脑阔疼啊！！！

执行 systemctl status firewalld 时突然发现了这么一条警告

WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i docker0 -o docker0 -j DROP' failed: iptables: Bad rule (does a matching rule exist in that chain?).

firewall启动的时候会删除docker往iptables里面添加的规则，这也就是我们经常在重启firewalld服务后，再重启docker容器时无法启动的原因，此问题可以重启docker服务解决，当然这与我们今天的主题无关。

至此终于找到端口拦截失败的原因，如下：

docker run -p 启动的时候会往iptables里面添加规则，firewall底层是基于iptables的，所以-p参数启动等于在防火墙上打了个洞

因为我是在docker的宿主机上控制端口访问，所以简单粗暴直接让docker不使用iptables，操作如下：
 

vi /usr/lib/systemd/system/docker.service

在文件中添加 --iptables=false

重新加载配置和重启服务

systemctl daemon-reload

systemctl restart docker

重启 Docker 搞定！！！

注意：完成上述步骤以及可以采用系统 firewall 控制端口访问，但会出现 docker 容器间无法访问，而且容器内也无法访问外部网络。

firewall-cmd --permanent --zone=public --add-masquerade

使用该方法解决 docker 无视系统防火墙问题所带来的缺点：容器内无法获取得到客户端的真实 IP，由于是类似 NAT 网络，常常 nginx 日志上记录的是 docker0 网络的子网 IP，对于一些业务无法获取真实 IP 可能不能容忍，看个人的取舍吧。