文章总结： 本文分析了VPS部署ARL时因Docker默认网段冲突导致的网络瘫痪问题。DockerCompose创建的桥接网络占用了172.20.0.0/16等内网网段，劫持了流量。作者提供了解决方案，包括修改docker-compose.yml指定自定义子网、调整daemon.json配置bip和default-address-pools以规避常用段，或改用裸机部署。文章还深入解析了Docker网络原理与路由机制，旨在帮助用户解决网络冲突并保障多工具环境的稳定性。 综合评分： 85 文章分类： 实战经验,安全工具,云安全,解决方案

docker 导致 vps 网络奔溃（arl 灯塔）

原创

impdx impdx

清醒的疯子impdx

2026年1月20日 17:03 浙江

#

问题 某台阿里ecs安装灯塔后网络崩溃

快速阅读：

1. 只有一台 vps 专门装灯塔，用解决方式二
2. 一台 vps 很多工具，用解决方式一
3. 难度：方式一 > 方式二 > 原理
4. 不推荐临时解决方案
5. 安装参考灯塔官方文档

导致的结果是直接机子连不上，除了 控制台的vnc,ecs有轻量云没有

先扔解决方式

tips：ip可以换成与内网地址不一样的网段，172/10/192 三选一

临时解决方案

ip route 丁真一下

[root@o0000344040-app ~]# ip route
172.20.0.0/16 dev br-931c5bdf794e proto kernel scope link src 172.20.0.1

查看网卡信息：

[root@o0000344040-app ~]# ifconfig
br-931c5bdf794e: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> &nbsp;mtu 1500
&nbsp; &nbsp; &nbsp; &nbsp; inet 172.20.0.1 &nbsp;netmask 255.255.0.0 &nbsp;broadcast 172.20.255.255
&nbsp; &nbsp; &nbsp; &nbsp; inet6 fe80::42:c0ff:fe66:fa8d &nbsp;prefixlen 64 &nbsp;scopeid 0x20<link>
&nbsp; &nbsp; &nbsp; &nbsp; ether 02:42:c0:66:fa:8d &nbsp;txqueuelen 0 &nbsp;(Ethernet)
&nbsp; &nbsp; &nbsp; &nbsp; RX packets 241563 &nbsp;bytes 17030523 (16.2 MiB)
&nbsp; &nbsp; &nbsp; &nbsp; RX errors 0 &nbsp;dropped 0 &nbsp;overruns 0 &nbsp;frame 0
&nbsp; &nbsp; &nbsp; &nbsp; TX packets 241563 &nbsp;bytes 17030523 (16.2 MiB)
&nbsp; &nbsp; &nbsp; &nbsp; TX errors 0 &nbsp;dropped 0 overruns 0 &nbsp;carrier 0 &nbsp;collisions 0

查了一下原来使用docker-compose 启动时会默认创建一个br-开头的网卡和一条对应的路由，可以发现，这个网卡的IP网段正是172.20，所以就导致我们所有请求到内网应用的请求都转发到了这个网卡、导致无法访问。

使用下面的命令删除了这个路由信息后恢复正常。

ip route del 172.20.0.0/16 dev br-931c5bdf794e

解决方式一：

docker compose 部署

在 docker-compose.yml中添加（更改 docker compose 默认网段,针对 arl）

networks:
  default:
    name: milvus
    ipam:
      driver: default
      config:
        - subnet: 10.103.0.0/16

其中 10.103.0.0 只要不和内网同一个网段就行

docker 更改默认网段（针对其余不用 dockercompose）

vim /etc/docker/daemon.json

这个文件默认没有，改源就有

加入如下

  {
  "bip": "10.200.0.1/24",
  "default-address-pools":[
    {"base":"10.201.0.0/16","size":24},
    {"base":"10.202.0.0/16","size":24},
    {"base":"10.203.0.0/16","size":24},
    {"base":"10.204.0.0/16","size":24}
  ]
}

解决方式二：

换 centos7.9/7.3

arl 灯塔文档中有俩种部署方式，第一种为 docker，第二种为裸机部署

简单说一下

1. docker 适合 vps有多种环境多种工具部署
2. 裸机部署适合 vps 只装灯塔，装的时候会把一系列 python 以及 nuclei 给装了，如果你要装其他比如 shuize，会导致出问题。（官方建议裸机部署，但我没钱钱，当然是 docker 啦）

裸机部署非常简单

wget https://raw.githubusercontent.com/TophantTechnology/ARL/master/misc/setup-arl.sh
chmod +x setup-arl.sh
./setup-arl.sh

好了，完事了

tips：注意是否有 error，正常是 会显示install done，以及 灯塔运行状态

管理服务

/opt/ARL/misc/manage.sh 参数

[ stop | start | status | restart | disable | enable | log ]

简单方式安装 docker 极dockercompose

tips注意：新版本 docker 中包含 dockercompose，且运行命令改为 docker compose ，少了各-

curl -fsSL https://get.docker.com | bash -s docker

原理

Docker网络

Docker网络一般会在三个地方生成网络子网。

• 默认网桥(docker0网络)
• 用户生成的桥接网络(比如docker compose中自定义会生成一个br-开头的网络就属于这种)
• 集群模式生成的覆盖网络（overlay网络：docker_gwbridge）

在一个运行有docker容器的机器上执行ifconfig命令查看网卡信息，可以发现如下信息：省略详细信息

[root@o0000344040-app ~]# ifconfig
docker0: # 省略

docker_gwbridge: # 省略

br-a1358a2e4fba:  # 省略

veth0b8d95a:# 省略

eth0: # 省略

lo: # 省略

其中eth0和lo是本机和本机回环网络就不说了一个是本机网络ip，一个是127.0.0.1；

docker0 是默认的桥接网络，是运行了 docker 这个软件就会有 docker0；

docker_gwbridge这是集群模式下创建overlay模式网络后在每台机器上创建的桥接网络，docker-gwbridge 是一个虚拟网桥，连接覆盖网络（overlay network ,包含 ingress网络）和docker主机的实际物理网络。之前有文章用到过这个网络open in new window

br 开头的则是 docker-compose中的自定义网络（br 就是 bridge 的缩写，如果docker compose中的networks不是自定义的比如下面这种方式定义的也不会创建br网络），每跑一个 docker-compose.yaml 都会有且只创建一个 br 虚拟网卡。

networks:
  c7n_overlay:
    external: true

veth 开头是docker0 的儿子，它是正在运行的容器的网络，每当我们创建一个新容器的时候，如果不指定 network 等等参数，用默认的网络配置。那么这个新容器就是挂载到 docker0 下面去的，同时会在宿主机创建一个 veth 开头的虚拟网卡；其实这涉及 到Veth Pair的内容了，这里不再赘述（我的个人笔记里有）。

而Docker的默认桥接网络也就是docker0（当未指定自定义网络时使用）具有IP范围172.17.0.0/16。

Docker Compose的默认自定义桥接网络(br-开头)看起来是是根据172.17往上递增的：

• 172.18.0.0/16
• 172.19.0.0/16
• 172.20.0.0/16
• 172.21.0.0/16
• ……

具体是不是这个规律就不深究了、总之它是不固定的。

那么如何控制Docker Compose使用的子网范围呢？

#永久解决

知道了原理，我们就可以想办法来解决了。

前面所提到的docker0 是默认的桥接网络，以及用户生成的桥接网络和overlay网络这三种Docker生成的网络子网都可以在Docker 的 daemon.json 配置文件中修改。主要是bip 和 default-address-pools 两个配置。注意：更改后，需要重启 Docker 守护进程使其生效。

{
  "bip": "10.200.0.1/24",
  "default-address-pools":[
    {"base":"10.201.0.0/16","size":24},
    {"base":"10.202.0.0/16","size":24},
    {"base":"10.203.0.0/16","size":24},
    {"base":"10.204.0.0/16","size":24}
  ]
}

1. bip（Bridge IP）：用于配置 Docker 容器网络的网桥 IP 地址。
2. default-address-pools：用于配置用户生成的桥接网络和overlay网络的 IP 地址池。同时docker-compose创建的br-网络算是一种用户生成的网络桥接网络

如果是docker-compose，直接在docker-compose文件中自定义也可以实现修改br-网络的IP地址：

version: '3'
services:
  app:
    image: your-image
    networks:
      - custom-network

networks:
  custom-network:
    ipam:
      config:
        - subnet: 10.201.0.0/16

总结

• bip 用于配置 Docker 网桥的 IP 地址范围。
• default-address-pools 用于配置用户生成的桥接网络和overlay网络的 IP 地址池。
• docker compose：需要更改 docker-compose.yml文件加入 netwrok

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：清醒的疯子impdx impdx impdx《docker 导致 vps 网络奔溃（arl 灯塔）》