群晖防火墙在此三条规则下如何允许 Docker 能 Ping 通并访问外部网络？

下面是数据包监听：
~# tcpdump -i docker919c320 -nn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on docker919c320, link-type EN10MB (Ethernet), capture size 262144 bytes
21:56:56.751834 IP 172.17.0.2 > 8.8.8.8: ICMP echo request, id 170, seq 0, length 64
21:57:01.766006 ARP, Request who-has 172.17.0.1 tell 172.17.0.2, length 28
21:57:01.766136 ARP, Reply 172.17.0.1 is-at 02:42:39:7d:18:f5, length 28

能不能 ping ip ，还有，出站和入站没啥关系吧

@yaott2020 IP 也 ping 不通，我的群晖防火墙最后一条规则阻挡了大部分数据包，可能原因在这，但是我已经允许了 ICMP 协议了啊？

你的防火墙规则是入站还是出站

@yaott2020 群晖防火墙的设计和功能实现只管理入站，不管理出站。

看监听结果,容器内 dns 不是大陆的 dns,是直接用的 8.8.8.8,这在拒绝境外 IP 入站的防火墙规则下肯定拿不到解析结果吧

@mmtromsb456
把规则调整为 ICMP 放第一条（即所有 IP 允许 Ping ）还是不行，除非取消最后一条规则才行，现在问题是前四条规则还是没能放过 Ping 数据包。
允许所有 ICMP 协议访问；
允许所有 IGMP 协议访问；
允许局域网 192.168.1.1~255 访问；
允许大陆 IP 访问一些服务（已勾选各个 Docker 容器名称）；
拒绝其他一切协议和 IP 访问；

@Apol1oBelvedere #7 不是 icmp 的问题啊,要 ping 域名之前得先找 ns 解析,现在去 8888 的 dns 报文被拦截了吧

@mmtromsb456 谢谢您，在您的帮助下问题解决了。
我之前也设置了允许 DNS 协议的 TCP 53 端口通过但无效，经过您的提示我再确认得知是 DNS 协议的 UDP 53 端口。添加到允许所有 IGMP 协议访问这条规则之后，就能 Ping 通了。