一种基于抄袭配置文件的透明代理配置方式 & 近况汇报

参考

• TProxy 透明代理 | Project X
• ChatGPT | AI 太好用了你们知道吗

1. 《一种基于照搬配置文件的透明代理配置方式》

最近几个月在玩 Steam 平台的碧蓝档案，一开始用传统的 *_proxy 环境变量是可以正常运行的，但最近登陆越来越卡，最近几天要重试好几次才能登陆进去，我怀疑是（最后也确实是）一些组件封装了自己的网络层，没有读环境变量，所以没走代理。我寻思透明代理这一块是绕不过去了。

1.1. 背景

之前用透明代理是 Shadowsocks 时代给树莓派刷了 OpenWRT ，里面有开箱即用的透明代理，确实方便，后来自己用 ArchLinux DIY 路由器就没搞过透明代理，因为我完全不了解 iptables 啥的，看别人的博客都是需要一大堆 iptables 指令，每一条我都不知道什么意思，所以没敢搞，但现在不一样了， AI 太好用了你们知道吗， ChatGPT 能帮我给每一行指令写出注释，所以我大胆地抄了 XTLS 的教程，最终是 works 的，所以想分享一下

我家里的网络大概是这样的：

关于我的 NAS 的信息可以在这里、这里和这里看到。

1.2. Xray 客户端配置

Xray 服务端不需要变动，新增一份用于透明代理的客户端配置：

{
  "dns": {
    "hosts": {
      "你的 VPS 的域名": "你的 VPS 的 IP",
      "可以有很多": "可以有很多"
    },
    "servers": [
      { // 国内 DNS
        "address": "223.5.5.5",
        "domains": ["geosite:cn"],
        "expectIPs": ["geoip:cn"]
      },
      { // 境外 DNS
        "address": "8.8.8.8",
        "domains": ["geosite:geolocation-!cn"]
      }
    ]
  },

  "inbounds": [
    { // TProxy
      "tag": "tproxy",
      "port": 12345, // 这里选了 12345 端口
      "protocol": "dokodemo-door",
      "settings": {
        "network": "tcp,udp",
        "followRedirect": true
      },
      "sniffing": {
        "enabled": true,
        "destOverride": ["http", "tls"]
      },
      "streamSettings": {
        "sockopt": {
          "tproxy": "tproxy"
        }
      }
    }
  ],

  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [

      { // 劫持所有 DNS 流量走 dns-out 出口
        "ruleTag": "tproxy-dns",
        "inboundTag": ["tproxy"],
        "outboundTag": "dns-out",
        "port": 53
      },

      { // 境外 DNS 走代理
        "ruleTag": "DNS-8-8-8-8",
        "outboundTag": "proxy",
        "ip": ["8.8.8.8"],
        "port": "53"
      },
      { // 境内 DNS 直连
        "ruleTag": "DNS-223-5-5-5",
        "outboundTag": "direct",
        "ip": ["223.5.5.5"],
        "port": "53"
      },

      {
        "ruleTag": "Block",
        "outboundTag": "block",
        "domain": [
          "geosite:category-ads-all"
        ]
      },

      {
        "ruleTag": "Direct-Domain",
        "outboundTag": "direct",
        "domain": [
          "geosite:cn",
          "geosite:private",
          "domain:可以加上你的 VPS 域名"
        ]
      },
      {
        "ruleTag": "Direct-IP",
        "outboundTag": "direct",
        "ip": [
          "geoip:cn",
          "geoip:private",
          "可以加上你的 VPS IP"
        ]
      },

    ]
  },

  "outbounds": [

    { // 出口第一个条目，如果流量没有命中上面任何 rule ，则默认走这个
      "tag": "proxy",
      "protocol": "vless",
      "settings": {
        // ...
      },
      "streamSettings": {
        // ...
        "sockopt": {
          "mark": 2 // 打上 2 标记出口流量，避免又被发回 Xray
        }
      }
    },

    {
      "tag": "direct",
      "protocol": "freedom",
      "settings": {
        "domainStrategy": "UseIPv4"
      },
      "streamSettings": {
        "sockopt": {
          "mark": 2 // 打上 2 标记出口流量，避免又被发回 Xray
        }
      }
    },

    {
      "tag": "block",
      "protocol": "blackhole",
      "response": {
        "type": "http"
      }
    },

    { // 这里没太搞懂，按理来说这么设置会导致所有 DNS 请求都走下面的 8.8.8.8 ，但实测 DNS 请求貌似是有国内/境外的分流的
      "tag": "dns-out",
      "protocol": "dns",
      "settings": {
        "address": "8.8.8.8"
      },
      "streamSettings": {
        "sockopt": {
          "mark": 2 // 打上 2 标记出口流量，避免又被发回 Xray
        }
      }
    }

  ]
}

保存到 xray 配置目录，比如我保存到了 /etc/xray/tproxy.json

1.3. 路由配置

# 给路由表 100 添加一条默认本地路由，所有目标地址都走本地回环
ip route add local default dev lo table 100
# 添加一条规则：所有标记为 1 的数据包都走路由表 100
ip rule add fwmark 1 table 100

现在所有打上标记 1 的数据包都会走本地回环，而不是外部网关，以便后续 Xray 接收。

1.4. 配置 Netfilter

配置 Netfilter ，我用 nftables ：

注意：我家路由用的是 192.168.1.0/24 子网，所以下面 nftables 配置 24-25, 33-34 行写了 192.168.0.0/16 是可以正常工作的，如果你的路由使用其他子网，就可能需要改一下

#!/usr/bin/nft -f

flush ruleset

# 保留 IP 段（不走代理）
define RESERVED_IP = {
  10.0.0.0/8,
  100.64.0.0/10,
  127.0.0.0/8,
  169.254.0.0/16,
  172.16.0.0/12,
  192.0.0.0/24,
  224.0.0.0/4,
  240.0.0.0/4,
  255.255.255.255/32
}

table ip xray {      # IPv4 表，名为 xray
  chain prerouting { # prerouting 链（所有入口流量）
    type filter hook prerouting priority mangle; policy accept;
    # 排除保留 IP 段
    ip daddr $RESERVED_IP return
    # 排除目标地址为 192.168.0.0/16 且端口并非 53 的流量（劫持 DNS 流量）
    ip daddr 192.168.0.0/16 tcp dport != 53 return
    ip daddr 192.168.0.0/16 udp dport != 53 return
    # 所有其他流量 tproxy 到 127.0.0.1:12345 ，设置标记 1 （后续会根据上面添加的路由规则进入路由表 100 进入本地回环）
    ip protocol tcp tproxy to 127.0.0.1:12345 meta mark set 1
    ip protocol udp tproxy to 127.0.0.1:12345 meta mark set 1
  }
  chain output { # output 链（所有出口流量，包括本机产生的流量）
    type route hook output priority mangle; policy accept;
    ip daddr $RESERVED_IP return
    ip daddr 192.168.0.0/16 tcp dport != 53 return
    ip daddr 192.168.0.0/16 udp dport != 53 return
    # 排除标记为 2 的
    meta mark 2 return
    ip protocol tcp meta mark set 1
    ip protocol udp meta mark set 1
  }
}

1.5. 透明代理客户端

这样就完成了透明代理配置，需要科学上网的设备只需要配置这台机器为网关 & DNS即可，如我的台式机用 netctl ，我的 NAS 使用 192.168.1.222 ：

# ...
Gateway='192.168.1.222'
DNS=('192.168.1.222')

1.6. 持久化

把上面的 nftable 保存成一个文件，比如我保存到了 xray 配置目录里 /etc/xray/nft.conf ，然后搞一个 systemd unit

[Unit]
Description=xray-nftables
Documentation=man:nft(8) http://wiki.nftables.org
Wants=network-pre.target
Before=network-pre.target shutdown.target
Conflicts=shutdown.target
DefaultDependencies=no

[Service]
Type=oneshot
RemainAfterExit=yes
StandardInput=null
ProtectSystem=full
ProtectHome=true
ExecStart=/usr/bin/nft -f /etc/xray/nft.conf ; /usr/bin/ip route add local default dev lo table 100 ; /usr/bin/ip rule add fwmark 1 table 100
ExecReload=/usr/bin/nft -f /etc/xray/nft.conf
ExecStop=/usr/bin/nft flush ruleset ; /usr/bin/ip route del local default dev lo table 100 ; /usr/bin/ip rule del table 100

[Install]
WantedBy=sysinit.target

设置成自动运行

systemctl enable xray@tproxy
systemctl enable xray-nftables

1.7. 配置 Aria2c 等不走 Xray

上面配置后， NAS 本机所有流量也会走 TProxy ， Aria2c 也会，这很明显会蛋疼，因为 BT 很多 Peer 都是国外 IP ，都走代理一方面大幅度加重了代理的使用量，另一方面也有点脱裤子放屁，但这只是我觉得，所以我希望 Aria2c 不要走 TProxy 。

1. 我知道 Xray 可以给 "protocol": ["bittorrent"] 单独配置路由，但在我的 NAS 上 Xray 识别不到 Aria2c 的 Bittorrent 流量，仍然会走代理

2. 还有 cloudflared ，这个东西不知道为啥走 TProxy 会有一个域名解析失败的问题，也需要绕过 TProxy

我觉得最简单、方便的做法就是再搞一个网络命名空间，然后给那个 netns 配置路由走光猫（没错，我家是光猫直接拨号当主路由）：

# 创建一个名为 direct-ns 的 netns
ip netns add direct-ns

# 创建一对 veth ，主 netns 里名字叫 veth-direct ， direct-ns 里叫 veth-direct-ns
ip link add veth-direct type veth peer name veth-direct-ns

# 把 veth-direct 桥到 br0 下
ip link set veth-direct master br0

# 把 veth-direct-ns 放进 direct-ns 里
ip link set veth-direct-ns netns direct-ns

# 启动 veth-direct
ip link set veth-direct up

# 下面配置 direct-ns 的网络

# 启动本地环回和 veth-direct-ns
ip netns exec direct-ns ip link set lo up
ip netns exec direct-ns ip link set veth-direct-ns up

# 给 veth-direct-ns 分配地址，这里用了 192.168.1.150
ip netns exec direct-ns ip addr add 192.168.1.150/24 dev veth-direct-ns

# 配置 direct-ns 走主路由 192.168.1.1
ip netns exec direct-ns ip route add default via 192.168.1.1
mkdir -p /etc/netns/direct-ns
echo 'nameserver 192.168.1.1' > /etc/netns/direct-ns/resolv.conf

这样 direct-ns 就会走 192.168.1.1 ，可以测试一下：

ip netns exec direct-ns curl -v https://www.google.com

预期的结果是连接不上， DNS 解析的结果是被污染的。现在让 Aria2c 用 direct-ns ，我是用 systemd 进行管理的，只需要加一行

[Service]
NetworkNamespacePath=/var/run/netns/direct-ns

就可以了

需要注意的是 direct-ns 里目前只有 192.168.1.150 这个 IP ，所以 Aria2c 的 Json RPC 地址会变为 192.168.1.150:6800

2. 近况汇报

变身 995 社畜快一年了

TODO