Не удалось пропинговать внешнюю сеть из пространства имен, возможно, постмаршрутизация не работает.

У вас есть Docker, который сам изменяет правила брандмауэра. Я не могу сказать, связано ли это с Docker, но у вас iptables политика по умолчанию для filter/FORWARD, установленная на DROP, предотвращающая любую маршрутизацию, которая явно не разрешена.

РЕДАКТИРОВАТЬ :добавлено направление возврата.

Чтобы ваш эксперимент работал, этого должно быть достаточно (, включая обратный трафик, который также должен быть включен):

iptables -A FORWARD -i v-eth1 -j ACCEPT
iptables -A FORWARD -o v-eth1 -j ACCEPT

Обратите внимание, что они могут быть дополнены интерфейсом в/из интернета, но я не знаю его названия.

Обычно предпочтительнее использовать приведенные ниже правила, позволяя обратному трафику разрешать отслеживание с отслеживанием состояния:conntrack , таким образом, приходится заботиться только об начальном трафике. Не стесняйтесь попробовать.

iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i v-eth1 -j ACCEPT

В качестве побочного примечания ядра >= 4.7 обычно требуют/разрешают несколько дополнительных настроек, чтобы вспомогательные программы conntrack (ftp... )работали правильно/безопасно, но это не требуется для вашего эксперимента (ICMP обрабатывается ). Некоторая информация в этом блоге:Безопасное использование iptables и помощников по отслеживанию соединений .

В случае сомнений (, таких как взаимодействие с Docker ), используйте вместо этого -I, чтобы обязательно вставить свои правила перед чем-либо еще. Просто имейте в виду, что перезапуск Docker может снова изменить правила. Теперь вы знаете, в чем проблема, вы должны интегрировать это вместе с загрузкой и Docker.

Возможно, вам будет интересно прочитать документацию Docker об использовании iptables:Docker и iptables .