V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
0o0O0o0O0o
V2EX  ›  Linux

想知道你们的透明代理方案

  •  
  •   0o0O0o0O0o · 2022-04-03 22:00:20 +08:00 · 21791 次点击
    这是一个创建于 964 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天试了 v2fly 文档推荐的 TPROXY ,发现 影响 docker

    想找一个长期使用的透明代理的方案,不包括通过环境变量或是 hook 或是 cgroup 实现的临时方案

    第 1 条附言  ·  2022-04-03 22:34:42 +08:00
    旅行的时候希望只带一个轻薄本,虽然我也确实为此准备了一些小巧的软硬路由,但还是想减少依赖,只在单台笔记本上实现
    55 条回复    2022-05-10 16:36:00 +08:00
    EricTing
        1
    EricTing  
       2022-04-03 22:19:24 +08:00   ❤️ 2
    可以看看 v2raya
    MacDows
        2
    MacDows  
       2022-04-03 22:22:25 +08:00 via Android
    路由器
    Donahue
        3
    Donahue  
       2022-04-03 22:22:55 +08:00
    旁路由或者软路由最好了~ 不要折腾其他没用的复杂的东西~
    Hconk
        4
    Hconk  
       2022-04-03 22:28:14 +08:00 via iPhone
    旁路由,Orange Pi4 装 docker 起个 openwrt ,用上面的 openclash 代理,路由器设置网关到上面
    ghjexxka
        5
    ghjexxka  
       2022-04-03 22:28:47 +08:00
    目前是 esxi6.7 下的 openwrt x86 ,代理用的 openclash ,redir 处理 tcp ,tun 处理 udp 的那个模式
    0o0O0o0O0o
        6
    0o0O0o0O0o  
    OP
       2022-04-03 22:32:54 +08:00
    @EricTing 上次看到的时候文档还不是很完善,看来还是可以学习一下
    Kinnice
        7
    Kinnice  
       2022-04-03 22:39:55 +08:00 via Android
    tun 模式
    heiher
        8
    heiher  
       2022-04-03 22:41:23 +08:00 via Android   ❤️ 1
    Linux 路由器上跑 https://github.com/heiher/hev-socks5-tproxy 透明代理,采用 UDP over TCP ,所有流量都可通过 CDN 。
    shequ2046
        9
    shequ2046  
       2022-04-03 23:01:07 +08:00
    @Kinnice 你这种标准答案对于这边只会在向日葵和 todesk 里做选择的小学生而言实在是太高中而完全超出理解范围了。。。
    macrorules
        10
    macrorules  
       2022-04-03 23:04:41 +08:00
    TPROXY 也就是一个 iptables 目标的存在,没什么大的意义,我用 r2s 做了个路由,overtune , trojan, 配一点 iptables 规则,可以完全透明代理,但感觉没必要让所有流量都被它分析一遍,所以就把它当作旁路由使用,加了一些显式代理,squid + privoxy
    BaiLinfeng
        11
    BaiLinfeng  
       2022-04-03 23:17:22 +08:00
    啥叫透明代理啊?就是非全局?
    adoal
        12
    adoal  
       2022-04-03 23:20:06 +08:00 via iPhone
    策略路由
    nuk
        13
    nuk  
       2022-04-04 01:04:33 +08:00
    wireguard 连到国内的机器做跳板
    MoRanjiang
        14
    MoRanjiang  
       2022-04-04 03:17:11 +08:00
    开虚拟机,Windows 直连大多数设备,留一个核心装个路由器
    wwbfred
        15
    wwbfred  
       2022-04-04 05:01:23 +08:00
    你这是在哪儿做透明代理呢?透明代理大都做在路由器上或是旁路由上,一般不会在这上面跑 docker 啊。而且这种冲突一般是有解的,就是可能需要你把 iptables 吃透了。
    datocp
        16
    datocp  
       2022-04-04 05:45:15 +08:00 via Android
    stunnel 有篇透明代理的文档,没搞定
    https://www.stunnel.org/socksvpn.html

    多年前淘宝买了套 mtk7620 的 4G 路由方案,用 openwrt 就牛了,softether 的虚拟 hub 是可以借道公司移动专线连接搬瓦工的,然后 vps 网络直接和 wifi 接口桥接,这样就可以实现 3 个 wifi,4g 网络+全局出墙+全局回公司。5000ma 能坚持 8 小时,64MB 内存小了点。

    其它路由表之类的太折腾,全局出,手动切。
    wgq2633
        17
    wgq2633  
       2022-04-04 08:15:27 +08:00 via Android   ❤️ 1
    1. dnsmasq 配置域名规则,把 ip 加进 ipset
    2. iptables 匹配上面的 ipset 进 TProxy
    IvanLi127
        18
    IvanLi127  
       2022-04-04 09:24:31 +08:00 via Android
    开个虚拟机跑,然后把网关指向虚拟机?
    han3sui
        19
    han3sui  
       2022-04-04 10:03:02 +08:00
    proxifier
    0o0O0o0O0o
        20
    0o0O0o0O0o  
    OP
       2022-04-04 10:10:59 +08:00 via iPhone
    @wgq2633 在分流方面我也打算尝试这个方案,因为发现 adguardhome 也有 ipset 支持
    SenLief
        21
    SenLief  
       2022-04-04 10:22:21 +08:00
    @wgq2633 我也喜欢这种,而不是用代理的规则匹配,感觉非常的慢,还污染。
    heiher
        22
    heiher  
       2022-04-04 10:28:24 +08:00 via Android
    @wgq2633 用 nftables 也方便,内置 ipset 支持策略分流,还内置支持 bridge 层的过滤,不想动主路由的话,桥接在主路由之间,匹配内网设备的 mac 开关代理。
    d0m2o08
        23
    d0m2o08  
       2022-04-04 10:33:09 +08:00 via iPhone
    clash premium 启用 tun
    lazywen
        25
    lazywen  
       2022-04-04 11:09:29 +08:00 via Android
    wgq2633 的方案再加一条,dnsmasq 域名规则里面的域名使用 cloudflare 的 dns over https 做解析,并用 iptables 把 cloudflare 的 ip redir 到 tpoxy
    xmlf
        26
    xmlf  
       2022-04-04 11:25:55 +08:00 via Android
    @lazywen @wgq2633 之前我也是这种方案,只是后来用 clash 就用 clash 的域名规则了
    xmlf
        27
    xmlf  
       2022-04-04 11:33:17 +08:00 via Android
    @lazywen dnsmasq 用 over https 是要 openwrt 安装 https dns proxy 插件吗?
    guanzhangzhang
        28
    guanzhangzhang  
       2022-04-04 13:14:56 +08:00
    我是出差都带个 r2s 和两根短网线,不想折腾了
    BadAngel
        29
    BadAngel  
       2022-04-04 13:21:02 +08:00 via Android
    Windows for clash 不就行了?
    macrorules
        30
    macrorules  
       2022-04-04 13:22:12 +08:00
    笔记本,就开个 socks5 和 http 代理,可以横着走
    0o0O0o0O0o
        31
    0o0O0o0O0o  
    OP
       2022-04-04 13:37:15 +08:00 via iPhone
    @guanzhangzhang #28 我以前和 #16 差不多,旅行会带个已经配置好的 openwrt 的迷你路由器,和网上买的山泽那种超细网线,还能有无线功能,住酒店对网速要求也不高。比较省心,但是在有些场景还是麻烦,所以我仍然在探索一个适合我的能在笔记本上搞定的方案。
    rpish
        32
    rpish  
       2022-04-04 13:56:04 +08:00   ❤️ 1
    clash_for_windows 就好辣
    Cielsky
        33
    Cielsky  
       2022-04-04 14:07:11 +08:00 via Android
    @BaiLinfeng 透明,顾名思义,看不到。
    smallparking
        34
    smallparking  
       2022-04-04 16:23:11 +08:00 via Android
    家里是 x86 工控机(双网口配置成了路由器) arch + ss-tproxy + hysteria
    自己的笔记本 arch + ss-tproxy + hysteria
    好像一样,哈哈
    KoMAsS121
        35
    KoMAsS121  
       2022-04-04 17:28:29 +08:00
    @heiher 话说我看了这个的说明,请问 UDP over TCP 这功能是只能连接他开发的 sock5 服务端,不能用 clash 之类给的 socks5 地址?那这...不会被阻断的?走 cdn 是咋操作,有教程或文档吗。谢谢 QwQ
    wweir
        36
    wweir  
       2022-04-04 17:29:59 +08:00
    heiher
        37
    heiher  
       2022-04-04 19:08:32 +08:00 via Android
    @KoMAsS121 确实,因为 socks5 标准的 udp 转发是走 udp 协议的,这里 over TCP 是扩展实现,所以服务器端要匹配哈。一般还要套 TCP 流量转发,socks5-tproxy <-- tcp forward --> socks5 server ,tcp forward 部分自由发挥~ 比如 tcp forward 封装成 http-stream 就可以走 CDN 啦~
    shiganwuguo
        38
    shiganwuguo  
       2022-04-04 19:11:46 +08:00 via Android
    做透明代理小心 dns 泄漏
    0o0O0o0O0o
        39
    0o0O0o0O0o  
    OP
       2022-04-04 19:16:22 +08:00 via iPhone
    @heiher 我曾经有一个需要全局代理的方案用的是 wireguard over vmess+websocket over cloudflare+tls ,接下来也是打算继续扩展这个方案,看看能不能通过 adguardhome 和 ipset 在这基础上实现分流
    yanqiyu
        40
    yanqiyu  
       2022-04-04 19:44:37 +08:00
    wireguard + netns 按照需求将程序启动在不同的 netns 里面
    y1y1
        41
    y1y1  
       2022-04-04 23:51:52 +08:00 via iPhone
    v2raya clash
    jeanz
        42
    jeanz  
       2022-04-05 00:28:07 +08:00 via Android
    hyper-v 开个虚拟机装 openwrt
    pigmen
        43
    pigmen  
       2022-04-05 00:35:12 +08:00
    clash + iptables 跑在路由器上
    lazywen
        44
    lazywen  
       2022-04-05 01:07:28 +08:00 via Android
    @xmlf 这个插件可以满足的
    sprite82
        45
    sprite82  
       2022-04-05 02:07:42 +08:00
    带软路由+1 、2 根网线的,这真的有必要吗,难道还常住外面?出差干活是主要目的,旅游玩是主要目的,带这么多杂七杂八的多不方便。
    一个 clash_for_windows 就够了,全平台都能用,开个 tun 模式,直接全局代理,win 可以笔记本开热点,mac 可以直接设为旁路网关,这样手机也能用了。再不行,开个虚拟机做旁路由也行,分个一、二百兆内存够了。
    带软路由的,还要找网口,找插座。。。
    xmlf
        46
    xmlf  
       2022-04-05 08:23:25 +08:00
    @lazywen 有个问题要请教。

    有必要把 cloudflare 的 ip 写到 iptables 中 redirect 到远端吗?解析延迟

    能放出您的 iptables 规则让我学习一下吗?谢谢!
    lovelylain
        47
    lovelylain  
       2022-04-05 09:08:17 +08:00 via Android
    试过 socks2tun+route+doh ,代理内部做分流,性能损失有点大,200M 宽带,没有透明代理能跑 240M ,透明代理后只能 170
    Wuuuu
        48
    Wuuuu  
       2022-04-05 09:45:04 +08:00
    可以看看 左耳朵大佬的文章 https://haoel.github.io/
    lazywen
        49
    lazywen  
       2022-04-05 10:53:23 +08:00 via Android
    @xmlf 非常有必要,不同区域解析得到的 ip 不一样,你所在区域解析得到的 ip 是当前区域访问速度的最优解,把 cloudflare 的 DOH ip 加入作转发的 ipset 中就行了,转发 TCP 流量就够了,像 1.0.0.1 也是支持 DOH 的
    cattyhouse
        51
    cattyhouse  
       2022-04-10 10:51:16 +08:00
    wstunnel
    guanzhangzhang
        52
    guanzhangzhang  
       2022-04-19 14:13:53 +08:00
    @0o0O0o0O0o 啥路由器,小巧还带无线,挺好奇的,我 r2s 出差手机端无法代理就蛋疼了,而且酒店的 wifi 一般都有 ap 隔离,局域网也无法互访🤦‍♂️,小巧能刷 openwrt 还带无线的路由器是新款吗
    0o0O0o0O0o
        53
    0o0O0o0O0o  
    OP
       2022-04-19 15:20:16 +08:00 via iPhone
    @guanzhangzhang #52 先后是
    WR710N
    Mi R1CL
    GL.iNet MT1300

    前两个需要换大一些的内存闪存

    还有试过树莓派 4B ,无线太弱。想过用 CM4 做一个 4G+无线软路由,涨价太离谱搁置中。

    现在计划用手头的 r86s 加个无线网卡做一个,和 MT1300 差不多,重一些,但也可以接受。
    0o0O0o0O0o
        54
    0o0O0o0O0o  
    OP
       2022-04-19 15:24:34 +08:00 via iPhone
    @0o0O0o0O0o #53 此外还有大 R 的杂货铺,比较专注迷你路由器
    skies457
        55
    skies457  
       2022-05-10 16:36:00 +08:00
    DNS: AdGuard Home -> clash -> alidns DoH, iQDNS DoH (fallback)
    Traffic: nftables (skip CN_IP) -- tun --> clash
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2335 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 15:55 · PVG 23:55 · LAX 07:55 · JFK 10:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.