使用 clash 和路由表实现透明代理
本文内容如有错误,请在评论区指出 需要的工具要进行全局代理,常见的方式是转发到特定端口、使用 tun 虚拟设备和使用 TPROXY。clash 有 redir port 可以直接转发实现代理,但是只支持 TCP,IPv6 的支持也尚未合并。TPROXY 是 v2ray-core 的推荐方式。而另一种方式则是 tun。本文介绍的是使用 tun 的方式。 要使用这种方式,首先需要一个使用 tun 转发流量的工具,目前 clash 主线并不支持 tun,clash 作者有一个支持 tun 的闭源版本,另外 comzyh 有一个支持 tun 的分支,性能不错,稳定性一般。然后有一个通用的工具 tun2socks,稳定性较好但性能一般。后两者都不错。 comzyh 的 clash 分支 go-tun2socks 需要的知识基本的路由表、iptables 操作 设置转发路由首先需要使用 ip tuntap add <tun name> mode tun user <tun user> 创建一个 tun 设备,并使用 ip link set <tun name> up 启用。 然后设置路由 ip address replace <tun address> dev <tun name>,tun address 取一个不常用的 IP 段,比如 kr328 的脚本中使用 172.31.255.253/30,又比如 go-tun2socks 默认的 10.255.0.1/24。 然后设置路由规则 1 2 ip route replace default dev <tun name> table <route table id> ip rule add fwmark <fwmark id> lookup <route table id> 把有特定 fwmark 标记的流量路由到 tun 其中 fwmark 号和 route 表号可以自行设定(不要和其他的规则重复)。 然后用 iptables 在 mangle 表上,把需要代理的流量打上 fwmark 标记,使用 -j MARK --set-mark <fwmark id> 即可 绕过部分流量利用 iptables 支持的丰富规则,我们可以灵活地绕过各种流量,列出几个比较常用的: -m owner --uid-owner <username or uid> 匹配某个用户的流量,类似的还有 --gid-owner -p <'tcp', 'udp' or 'icmp'> 匹配某种类型流量 --dport <port num> 匹配目的端口,类似的 --sport 匹配源端口,需要和 -p tcp 等连用 -d <network name, hostname, subnet(IP CIDR) or IP> 匹配目的网络/主机名/子网/IP -m set --match-set <ipset name> <'dst' or 'src'> 匹配 ipset,可以用于简化规则,ipset 用法自行搜索 -m cgroup --cgroup <cgroup id> 匹配 cgroup 有较多规则时可以创建规则链,并把 OUTPUT 或 PREROUTING 链中的流量转入该链(ip6tables 也一样): 1 2 3 iptables -t mangle -N <chain name> iptables -t mangle -F <chain name> iptables -t mangle -I OUTPUT -j <chain name> 然后在规则链上编写规则即可,需要打标记走代理就 -j MARK --set-mark <fwmark id>,需要绕过就 -j RETURN,一般建议先写绕过规则,最后无条件地打标记。注意一定要绕过 clash 的流量(建议 uid/gid 或 cgroup) 使用 cgroup net_clscgroup 是 Linux 内核的一个功能,这里需要用到它的 net_cls 子系统。使用起来简单,我们首先运行以下命令创建一个组: 1 2 3 mkdir -p /sys/fs/cgroup/net_cls/<cgroup name> echo <cgroup id> > /sys/fs/cgroup/net_cls/bypass_proxy/net_cls.classid chmod 666 /sys/fs/cgroup/net_cls/<cgroup name>/tasks 上述命令可以在开机时运行 这样,如果一个进程的 pid 在 /sys/fs/cgroup/net_cls/<cgroup name>/tasks 中,它就会被 iptables 的 -m cgroup --cgroup <cgroup id> 规则匹配到,并且这些进程的子进程 pid 会自动被添加。如果对安全比较敏感,你可以对该文件进行适当的权限控制。 可以使用一个脚本,以它作为 wrapper 来运行需要的命令 1 2 3 #!/bin/bash echo $$ > /sys/fs/cgroup/net_cls/<cgroup name>/tasks exec "$@" 单独转发 DNS与 v2ray 不同,clash 不能通过其规则把流量转到 clash 的内置 DNS,且 clash 不支持 sni 解析域名,需要内置 DNS 反查域名。 因此,需要使用 nat 表把 DNS 流量转发到 clash 的 DNS 端口,对 UDP 53 端口的流量,设置适当的绕过规则过滤后,-j REDIRECT --to-ports <clash dns port> 即可。 tun 工具配置comzyh 的 clash 分支需要在配置文件中设置以下内容 1 2 3 tun: enable: true device-url: dev://<tun name> go-tun2socks 用以下命令启动 tun2socks -tunName <tun name> -proxyServer <clash socks server> -tunAddr <tun address> -tunGw <tun gateway> -tunMask <tun mask> -tunPersist -blockOutsideDns 选一个不常用的 subnet,并取该 subnet 内两个不同地址作为 tun gateway 和 tun address。 比如要使用 172.31.255.253/30 子网。则 tun mask 为 255.255.255.252,tun gateway 可以用 172.31.255.253,tun address 可以用 172.31.255.254,默认参数对应的子网是 10.255.0.1/24