最近在使用docker的过程中，遇到了一个问题，就是在docker容器内可以访问外网，但是在容器外却无法访问容器内的服务。

首先，我们需要理解docker网络的工作原理。docker在创建容器时，会默认创建一个虚拟的网桥（bridge），所有的容器都会连接到这个网桥上，这样容器之间就可以直接相互访问了。不过，因为这个虚拟网桥是docker自己创建的，所以默认情况下，容器是无法被外部访问到的。

如果我们需要对外暴露容器内的服务，需要进行一些配置：

docker run -p 8080:80 nginx

上面这个命令表示将nginx容器的80端口映射到宿主机的8080端口上，这样宿主机就可以通过http://localhost:8080来访问nginx了。

不过，在某些情况下，即使我们已经配置了端口映射，容器内的服务仍然无法被外部访问。这时我们需要检查防火墙的设置。

sudo iptables-save | grep DOCKER

上面这个命令可以查看docker所使用的iptables规则。如果看到如下内容：

-A DOCKER -j DROP

那么我们需要将这个规则删除掉：

sudo iptables -D DOCKER -j DROP

再次尝试访问容器内的服务，应该就可以正常访问了。