docker compose 那个内部 DNS 到底是怎么工作的

docker 会改 iptables ，可以把 53 端口的请求转发到别的端口。当然我并不是说 docker 是这么做的，不过有这种可能性。

@crysislinux 你还真说对了，实际上确实是通过 iptables 将 127.0.0.11:53 的流量进行了转发，docker 不是在容器里启动的 dns ，而是在 host 上启动了一个 dns 服务，然后映射到容器内一个随机端口，iptables 会将 53 的流量转发到这个随机端口，也就将 dns 请求交给 host 上的 docker dns 服务去处理了

@julyclyde 你在容器里看一下 iptables 的转发规则就能看到 127.0.0.11:53 有进行流量转发

@sunny352787 内部不能看 iptables 吧。需要 privileged

这个应该是统一 Docker daemon 处理的吧，并不是每个容器自身都各自 dns 服务吧～而是统一在 docker daemon 实现的 dns 内部解析（结合本身内部注册服务）及转发外部域查询处理

@Yousri docker daemon 并不会“神奇的”生效
而是通过一定机制生效的
我问的就是这个机制

@julyclyde 那估计得直接翻阅下 moby 项目本身关于 daemon 模块中有关 libnetwork 和 docker-proxy 的源码哈