Docker 특정 포트만 외부 접속이 안 될 때: iptables NAT 무한 루프 해결기

🚨 문제 상황

Docker로 서비스를 운영하던 중 기묘한 현상을 발견했다:

• 43001, 43030 포트: 외부 접속 ✅ 정상
• 43000 포트: 외부 접속 ❌ 불가능
• localhost:43000: 내부 접속 ✅ 정상

더 이상한 건, Docker 컨테이너는 정상 실행 중이고, 포트도 제대로 리스닝하고 있었다는 점이다.

🔍 진단 과정

1. 기본 상태 확인

# 포트 리스닝 상태 확인
$ netstat -tuln | grep 43000
tcp6       0      0 :::43000                :::*                    LISTEN

# Docker 컨테이너 상태 확인  
$ docker ps | grep 43000
8a5bce7ee59f   aimfuse-web   "docker-entrypoint.s…"   Up 5 days (unhealthy)   0.0.0.0:43000->3000/tcp

# 내부 접속 테스트
$ curl -v http://localhost:43000/api/public/health
< HTTP/1.1 200 OK
{"status":"ok"}

컨테이너는 unhealthy 상태였지만, API는 정상 응답했다. 🤔

2. 방화벽 규칙 확인

# UFW 상태 확인
$ sudo ufw status verbose
Status: active
Default: allow (incoming), allow (outgoing), allow (routed)

# iptables 확인
$ sudo iptables -L -n -v | grep 43000
# 특별한 차단 규칙 없음

UFW는 기본 정책이 allow라서 문제가 없어 보였다.

3. NAT 테이블 확인 - 문제 발견! 🎯

$ sudo iptables -t nat -L -n -v --line-numbers | grep -A 10 -B 10 "43000\|3000"

Chain PREROUTING (policy ACCEPT)
num  target     prot opt source    destination
2    REDIRECT   tcp  --  0.0.0.0/0  0.0.0.0/0    tcp dpt:3000 redir ports 43000
3    REDIRECT   tcp  --  0.0.0.0/0  0.0.0.0/0    tcp dpt:43000 redir ports 3000

💡 문제 원인

NAT 테이블에서 무한 루프를 발견했다!

3000 포트 → 43000 포트로 리다이렉트
43000 포트 → 3000 포트로 리다이렉트

이 두 규칙이 서로를 계속 호출하면서 무한 루프에 빠져, 결국 43000 포트로의 외부 접속이 불가능했던 것이다.

🔧 해결 방법

문제가 되는 NAT 규칙들을 제거했다:

# 문제가 되는 규칙 제거 (라인 번호 확인 후)
$ sudo iptables -t nat -D PREROUTING 3
$ sudo iptables -t nat -D PREROUTING 2

# 변경사항 확인
$ sudo iptables -t nat -L -n -v | grep -A 5 -B 5 "43000\|3000"
# 이제 Docker의 정상적인 DNAT 규칙만 남음

✅ 결과

• 제거된 규칙: 무한 루프를 만드는 REDIRECT 규칙들
• 유지된 규칙: Docker의 정상적인 포트 포워딩 (43000 → 172.20.0.6:3000)
• 외부 접속: 정상화! 🎉

📝 교훈과 체크리스트

왜 이런 일이 발생했을까?

아마도 과거에 포트 리다이렉션을 테스트하다가 잘못된 규칙을 추가했고, 이를 제거하지 않았던 것 같다.

향후 방지를 위한 체크리스트

1. 포트 문제 발생 시 점검 순서:
   # 1. 포트 리스닝 확인 netstat -tuln | grep [포트번호]
   # 2. Docker 상태 확인 docker ps | grep [포트번호]
   # 3. 내부 접속 테스트 curl -v http://localhost:[포트번호]
   # 4. iptables 일반 규칙 확인 sudo iptables -L -n -v | grep [포트번호]
   # 5. NAT 테이블 확인 ⚠️ 중요! sudo iptables -t nat -L -n -v | grep [포트번호]
2. iptables 규칙 추가 시 주의사항:
   • NAT 규칙 추가 전 기존 규칙 확인
   • 테스트 후 불필요한 규칙은 즉시 제거
   • 규칙 추가 시 문서화 또는 주석 남기기
3. 정기적인 점검:
4. # NAT 테이블 전체 확인 sudo iptables -t nat -L -n -v --line-numbers

🎯 핵심 정리

"특정 포트만 외부 접속이 안 된다면, iptables NAT 테이블을 확인하자!"

일반적인 방화벽 규칙뿐만 아니라 NAT 테이블의 REDIRECT 규칙도 반드시 확인해야 한다. 특히 무한 루프를 만들 수 있는 상호 참조 규칙이 있는지 주의 깊게 살펴보자.

이번 경험을 통해 네트워크 문제 해결 시 NAT 테이블 확인의 중요성을 다시 한번 깨달았다. 같은 실수를 반복하지 않기 위해 이 글을 기록으로 남긴다. 🚀