兄弟我太懂这种反常识Docker问题的崩溃感了——居然Linux不行Windows行，换谁挠头三周都正常！结合你的情况，只有final的main-app阶段炸DNS，前面阶段全正常，给你捋几个针对性的排查方向，都是我踩过的坑：

• 先试试禁用BuildKit构建，说不定是BuildKit的网络隔离搞的鬼：构建时加环境变量 DOCKER_BUILDKIT=0 docker build -t paperless-test .，或者直接在/etc/docker/daemon.json里加"features": {"buildkit": false}，重启Docker服务再试。毕竟Windows Docker Desktop的BuildKit配置可能和Linux默认不一样。

• 检查你复制到main-app的rootfs有没有搞坏DNS配置：你看Dockerfile里main-app阶段复制了./docker/rootfs进去，去主机上看看这个rootfs目录里有没有/etc/resolv.conf、/etc/nsswitch.conf这类网络相关文件？要是rootfs里自带了一个空的或者错误的resolv.conf，覆盖了s6-overlay-base里的正常配置，那肯定炸DNS。

• 硬给Docker daemon指定公共DNS：Linux上Docker默认会用主机的DNS，但有时候主机DNS抽风或者和Docker不兼容。编辑/etc/docker/daemon.json（没有就新建），加：

  {
    "dns": ["8.8.8.8", "1.1.1.1"]
  }
  

  然后重启Docker：sudo systemctl restart docker，再跑构建试试。

• 给main-app阶段强制塞DNS服务器：在Dockerfile的main-app阶段开头加一行RUN echo "nameserver 8.8.8.8" > /etc/resolv.conf，然后再执行需要联网的命令（比如apt-get update），先确认是不是单纯的DNS服务器配置问题。

• 用host网络模式构建：BuildKit默认用自己的隔离网络，试试构建时加--network host参数，比如docker buildx build --network host -t paperless-test .，直接共享主机的网络栈，看能不能绕开DNS问题。

• 排查s6-overlay的锅：虽然s6-overlay-base阶段正常，但main-app是最终运行镜像，会不会rootfs里的s6服务脚本悄悄改了DNS？你可以在main-app阶段加两个调试命令：

  RUN cat /etc/resolv.conf
  RUN cat /etc/nsswitch.conf
  

  对比s6-overlay-base阶段的输出（在s6-overlay-base阶段最后加同样的命令，看构建日志），就能知道DNS配置是不是在复制rootfs后被篡改了。

另外，要是以上都没用，你可以把main-app阶段完整的Dockerfile内容贴出来（之前的内容被截断了），或者把构建时的具体错误日志（比如Could not resolve 'deb.debian.org'的完整上下文）补上，这样能更精准定位问题！