解决从局域网访问Windows WSL2 Docker容器服务被拒绝的问题

问题描述：在Windows系统的WSL2中运行了Docker容器（例如PhotoPrism），服务端口为2342。虽然在WSL2内部可以正常访问，但从Windows主机或局域网内的其他设备（如Mac）尝试访问时，却遇到“Connection refused”或“无法访问此网站”的错误。

根本原因分析

导致该问题的原因通常集中在以下四个方面：

1. Windows防火墙阻拦：即使能Ping通Windows主机，防火墙也可能默认阻止了特定的TCP端口，导致外部连接请求被丢弃。
2. 服务监听地址错误：Docker容器内的服务可能只绑定了127.0.0.1（本地回环地址），这意味着它只接受来自容器内部的连接，而没有绑定到0.0.0.0（所有网络接口），因此无法接受外部网络的请求。
3. WSL2的网络隔离：WSL2默认运行在一个虚拟化的NAT网络下，与Windows主机属于不同的网络子网。局域网设备无法直接路由到WSL2的虚拟网络内部。
4. 端口转发配置错误：手动配置端口转发时，使用了错误或已变更的WSL2 IP地址。

解决方案（逐步指南）

请严格按照以下步骤进行操作。

第一步：确认Docker容器和服务的状态

1. 在WSL2终端中，运行以下命令，确认您的容器（例如photoprism）正在运行，并且端口映射正确。关键是要看到0.0.0.0:2342->2342/tcp这样的映射，这表明Docker已将宿主机的所有IP地址的2342端口转发到了容器。

   docker ps
   

2. 在WSL2终端内部，测试服务是否正常工作：

   curl -v http://127.0.0.1:2342
   

   • 如果此命令成功，但从Windows主机或局域网访问 http://<WSL2_IP>:2342 失败，则问题极有可能是服务监听地址配置错误。
   • 如果此命令失败，请先排查容器内服务本身的问题。
   • 你可以在win主机访问 http://localhost:2342 以检测本机是否可用此端口，或验证wsl正确转发

第二步：修改Docker容器内服务的监听地址（若你的docker端口无法在win主机使用 http://localhost:2342访问）

这是最常见也是最关键的步骤。

• 如果您的服务（如PhotoPrism）默认只监听127.0.0.1，您需要修改其配置文件（如config.yml）或通过环境变量，将其监听地址（host或bind）从 127.0.0.1 修改为 0.0.0.0。
• 修改完成后，务必重启Docker容器以使配置生效。

  docker-compose restart # 如果你使用docker-compose
  # 或
  docker restart <container_name>
  

第三步：获取WSL2的当前IP地址

WSL2的IP地址可能会在每次启动时变化。请在WSL2终端中执行以下命令获取：

ip addr show eth0 | grep -oP '(?<=inet\s)\d+(\.\d+){3}'

输出的IP地址通常是172.x.x.x格式，请记录下来，下一步会用到。

第四步：在Windows上设置端口转发（需管理员权限）

此步骤将告诉Windows主机：“所有发往本机任何IP的2342端口的请求，都请转发到WSL2的IP地址上去”。

1. 在Windows搜索栏中搜索“PowerShell”，右键单击并选择以管理员身份运行。
2. 首先，清理可能已存在的旧转发规则（避免冲突）：

   netsh interface portproxy delete v4tov4 listenport=2342 listenaddress=0.0.0.0
   

3. 添加新的端口转发规则，将 你的WSL2_IP 替换为第三步中查到的IP地址：

   netsh interface portproxy add v4tov4 listenport=2342 listenaddress=0.0.0.0 connectport=2342 connectaddress=你的WSL2_IP
   

   • listenport: Windows主机监听的端口。
   • connectaddress: 要转发到的目标地址（WSL2的IP）。

第五步：在Windows防火墙上开放端口（需管理员权限）

继续在刚才的管理员PowerShell中，执行以下命令，创建一条新的入站规则，允许外部连接访问2342端口：

New-NetFirewallRule -DisplayName "Allow Photoprism (TCP 2342)" -Direction Inbound -Action Allow -Protocol TCP -LocalPort 2342

第六步：最终验证

现在，您可以从局域网内的其他设备（例如您的Mac）进行测试了。

# 在Mac或Linux设备的终端中
curl -v http://<你的Windows主机IP地址>:2342

或者直接在浏览器中访问 http://<你的Windows主机IP地址>:2342。

如果所有步骤都配置正确，您现在应该能够成功看到服务页面。

重要注意事项

• 管理员权限：所有在PowerShell中执行的netsh和New-NetFirewallRule命令，必须在以管理员身份运行的PowerShell中进行，否则会因权限不足而失败。
• IP地址动态变化：WSL2的IP地址在系统重启后可能会发生变化。如果重启后再次遇到无法访问的问题，需要重新执行第三步和第四步，更新端口转发规则中的IP地址。可以考虑编写脚本自动化这一过程。
• 替换真实IP：请确保将教程中的所有示例IP（你的WSL2_IP, 你的Windows机器IP地址）替换为您环境中实际的IP地址。