Это абсолютно возможно. DNS только указывает на конкретный IP-адрес - естественно он не заботится, находится ли IP-адрес позади брандмауэра. DNS будет работать, если IP будет присвоен серверу, который отказал, или даже если IP не был присвоен.
У меня такая же проблема. Я не знаю, что вообще можно сделать с файловой системой ro, но для решения проблемы dhcp я использую dhclient вместо dhcpcd. dhclient не пытается ничего записать в /proc/sys.
Причина в том, что при запуске ваш контейнер монтирует версию / proc / sys только для чтения поверх структуры / proc.
Внутри контейнера:
# grep proc /proc/mounts
proc /proc proc rw,nosuid,nodev,noexec,relatime 0 0
proc /proc/sys proc ro,relatime 0 0
Вы можете размонтировать (или смонтировать -o remount, rw ) это и ваша проблема исчезнет.
umount /proc/sys
Доступный только для чтения каталог / proc / sys предназначен для защиты (общей стабильности) вашего хоста от (случайных) модификаций из LXC-контейнера, поэтому приведенное выше утверждение подразумевает риск.