✅ 最终版本：/etc/systemd/system/network-forward-fix.service#

1
[Unit]
2
Description=Fix FORWARD rules for libvirt and Waydroid after Docker
3
After=libvirtd.service docker.service network.target
4
Before=network-online.target
5
Wants=libvirtd.service docker.service
6

7
[Service]
8
Type=oneshot
9
ExecStart=/usr/bin/iptables -I FORWARD -i virbr0 -j ACCEPT
10
ExecStart=/usr/bin/iptables -I FORWARD -o virbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT
11
ExecStart=/usr/bin/iptables -I FORWARD -i waydroid0 -j ACCEPT
12
ExecStart=/usr/bin/iptables -I FORWARD -o waydroid0 -m state --state RELATED,ESTABLISHED -j ACCEPT
13
RemainAfterExit=yes
14

15
[Install]
16
WantedBy=multi-user.target

🔧 安装并启用服务#

1. 创建服务文件：

   1
   sudo tee /etc/systemd/system/network-forward-fix.service <<'EOF'
   2
   [Unit]
   3
   Description=Fix FORWARD rules for libvirt and Waydroid after Docker
   4
   After=libvirtd.service docker.service network.target
   5
   Before=network-online.target
   6
   Wants=libvirtd.service docker.service
   7
   
   8
   [Service]
   9
   Type=oneshot
   10
   ExecStart=/usr/bin/iptables -I FORWARD -i virbr0 -j ACCEPT
   11
   ExecStart=/usr/bin/iptables -I FORWARD -o virbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT
   12
   ExecStart=/usr/bin/iptables -I FORWARD -i waydroid0 -j ACCEPT
   13
   ExecStart=/usr/bin/iptables -I FORWARD -o waydroid0 -m state --state RELATED,ESTABLISHED -j ACCEPT
   14
   RemainAfterExit=yes
   15
   
   16
   [Install]
   17
   WantedBy=multi-user.target
   18
   EOF

2. 重载 systemd 并启用服务：

   1
   sudo systemctl daemon-reload
   2
   sudo systemctl enable --now network-forward-fix.service

3. 验证是否生效（可选）：

   1
   sudo systemctl status network-forward-fix
   2
   sudo iptables -L FORWARD -v -n | grep -E 'virbr0|waydroid0'

🔄 为什么这样设计？#

• After=libvirtd.service docker.service：确保在 Docker 和 libvirt 启动后再加规则（避免被覆盖）
• Before=network-online.target：在网络完全就绪前完成配置
• 多个 ExecStart= 会按顺序执行，等价于逐条运行 iptables 命令
• 使用 -I（插入）而不是 -A（追加），确保规则在 Docker 的 DROP 之前匹配

💡 即使 waydroid0 或 virbr0 接口尚未存在，iptables 也不会报错，规则仍会被加入。当接口 later 出现时，规则自动生效。

🛡 可选增强：仅当接口存在时才添加规则（更健壮）#

如果你希望更严谨（避免日志中出现“设备不存在”警告），可以用脚本包装：

1
sudo tee /usr/local/bin/fix-forward-rules.sh <<'EOF'
2
#!/bin/sh
3
for iface in virbr0 waydroid0; do
4
    if ip link show "$iface" >/dev/null 2>&1; then
5
        iptables -C FORWARD -i "$iface" -j ACCEPT 2>/dev/null || iptables -I FORWARD -i "$iface" -j ACCEPT
6
        iptables -C FORWARD -o "$iface" -m state --state RELATED,ESTABLISHED -j ACCEPT 2>/dev/null || iptables -I FORWARD -o "$iface" -m state --state RELATED,ESTABLISHED -j ACCEPT
7
    fi
8
done
9
EOF
10

11
sudo chmod +x /usr/local/bin/fix-forward-rules.sh

然后服务文件改为：

1
[Service]
2
Type=oneshot
3
ExecStart=/usr/local/bin/fix-forward-rules.sh
4
RemainAfterExit=yes

但对大多数用户来说，直接用上面的简单版本就足够了。

重启测试一下，你的虚拟机和 Waydroid 应该都能稳定联网了！如果还有问题，欢迎继续交流 😊