112

想知道你们的透明代理方案

 2 years ago
source link: https://www.v2ex.com/t/844790
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

V2EX  ›  Linux

想知道你们的透明代理方案

  0o0O0o0O0o · 1 天前 · 4238 次点击

今天试了 v2fly 文档推荐的 TPROXY ,发现 影响 docker

想找一个长期使用的透明代理的方案,不包括通过环境变量或是 hook 或是 cgroup 实现的临时方案

第 1 条附言  ·  1 天前

旅行的时候希望只带一个轻薄本,虽然我也确实为此准备了一些小巧的软硬路由,但还是想减少依赖,只在单台笔记本上实现
49 条回复    2022-04-05 10:53:23 +08:00

EricTing

EricTing      1 天前

可以看看 v2raya

MacDows

MacDows      1 天前 via Android

Donahue

Donahue      1 天前

旁路由或者软路由最好了~ 不要折腾其他没用的复杂的东西~

Hconk

Hconk      1 天前 via iPhone

旁路由,Orange Pi4 装 docker 起个 openwrt ,用上面的 openclash 代理,路由器设置网关到上面

ghjexxka

ghjexxka      1 天前

目前是 esxi6.7 下的 openwrt x86 ,代理用的 openclash ,redir 处理 tcp ,tun 处理 udp 的那个模式

0o0O0o0O0o

0o0O0o0O0o      1 天前

@EricTing 上次看到的时候文档还不是很完善,看来还是可以学习一下

Kinnice

Kinnice      1 天前 via Android

tun 模式

heiher

heiher      1 天前 via Android

Linux 路由器上跑 https://github.com/heiher/hev-socks5-tproxy 透明代理,采用 UDP over TCP ,所有流量都可通过 CDN 。

shequ2046

shequ2046      1 天前

@Kinnice 你这种标准答案对于这边只会在向日葵和 todesk 里做选择的小学生而言实在是太高中而完全超出理解范围了。。。

macrorules

macrorules      1 天前

TPROXY 也就是一个 iptables 目标的存在,没什么大的意义,我用 r2s 做了个路由,overtune , trojan, 配一点 iptables 规则,可以完全透明代理,但感觉没必要让所有流量都被它分析一遍,所以就把它当作旁路由使用,加了一些显式代理,squid + privoxy

BaiLinfeng

BaiLinfeng      1 天前

啥叫透明代理啊?就是非全局?

adoal

adoal      1 天前 via iPhone

nuk

nuk      1 天前

wireguard 连到国内的机器做跳板

MoRanjiang

MoRanjiang      1 天前

开虚拟机,Windows 直连大多数设备,留一个核心装个路由器

wwbfred

wwbfred      1 天前

你这是在哪儿做透明代理呢?透明代理大都做在路由器上或是旁路由上,一般不会在这上面跑 docker 啊。而且这种冲突一般是有解的,就是可能需要你把 iptables 吃透了。

datocp

datocp      1 天前 via Android

stunnel 有篇透明代理的文档,没搞定
https://www.stunnel.org/socksvpn.html

多年前淘宝买了套 mtk7620 的 4G 路由方案,用 openwrt 就牛了,softether 的虚拟 hub 是可以借道公司移动专线连接搬瓦工的,然后 vps 网络直接和 wifi 接口桥接,这样就可以实现 3 个 wifi,4g 网络+全局出墙+全局回公司。5000ma 能坚持 8 小时,64MB 内存小了点。

其它路由表之类的太折腾,全局出,手动切。

wgq2633

wgq2633      1 天前 via Android   ❤️ 1

1. dnsmasq 配置域名规则,把 ip 加进 ipset
2. iptables 匹配上面的 ipset 进 TProxy

IvanLi127

IvanLi127      1 天前 via Android

开个虚拟机跑,然后把网关指向虚拟机?

han3sui

han3sui      1 天前

proxifier

0o0O0o0O0o

0o0O0o0O0o      1 天前 via iPhone

@wgq2633 在分流方面我也打算尝试这个方案,因为发现 adguardhome 也有 ipset 支持

SenLief

SenLief      1 天前

@wgq2633 我也喜欢这种,而不是用代理的规则匹配,感觉非常的慢,还污染。

heiher

heiher      1 天前 via Android

@wgq2633 用 nftables 也方便,内置 ipset 支持策略分流,还内置支持 bridge 层的过滤,不想动主路由的话,桥接在主路由之间,匹配内网设备的 mac 开关代理。

d0m2o08

d0m2o08      1 天前 via iPhone

clash premium 启用 tun

lazywen

lazywen      1 天前 via Android

wgq2633 的方案再加一条,dnsmasq 域名规则里面的域名使用 cloudflare 的 dns over https 做解析,并用 iptables 把 cloudflare 的 ip redir 到 tpoxy

xmlf

xmlf      23 小时 46 分钟前 via Android

@lazywen @wgq2633 之前我也是这种方案,只是后来用 clash 就用 clash 的域名规则了

xmlf

xmlf      23 小时 38 分钟前 via Android

@lazywen dnsmasq 用 over https 是要 openwrt 安装 https dns proxy 插件吗?

guanzhangzhang

guanzhangzhang      21 小时 57 分钟前

我是出差都带个 r2s 和两根短网线,不想折腾了

BadAngel

BadAngel      21 小时 50 分钟前 via Android

Windows for clash 不就行了?

macrorules

macrorules      21 小时 49 分钟前

笔记本,就开个 socks5 和 http 代理,可以横着走

0o0O0o0O0o

0o0O0o0O0o      21 小时 34 分钟前 via iPhone

@guanzhangzhang #28 我以前和 #16 差不多,旅行会带个已经配置好的 openwrt 的迷你路由器,和网上买的山泽那种超细网线,还能有无线功能,住酒店对网速要求也不高。比较省心,但是在有些场景还是麻烦,所以我仍然在探索一个适合我的能在笔记本上搞定的方案。

rpish

rpish      21 小时 15 分钟前

clash_for_windows 就好辣

Cielsky

Cielsky      21 小时 4 分钟前 via Android

@BaiLinfeng 透明,顾名思义,看不到。

smallparking

smallparking      18 小时 48 分钟前 via Android

家里是 x86 工控机(双网口配置成了路由器) arch + ss-tproxy + hysteria
自己的笔记本 arch + ss-tproxy + hysteria
好像一样,哈哈

KoMAsS121

KoMAsS121      17 小时 43 分钟前

@heiher 话说我看了这个的说明,请问 UDP over TCP 这功能是只能连接他开发的 sock5 服务端,不能用 clash 之类给的 socks5 地址?那这...不会被阻断的?走 cdn 是咋操作,有教程或文档吗。谢谢 QwQ

heiher

heiher      16 小时 3 分钟前 via Android

@KoMAsS121 确实,因为 socks5 标准的 udp 转发是走 udp 协议的,这里 over TCP 是扩展实现,所以服务器端要匹配哈。一般还要套 TCP 流量转发,socks5-tproxy <-- tcp forward --> socks5 server ,tcp forward 部分自由发挥~ 比如 tcp forward 封装成 http-stream 就可以走 CDN 啦~

shiganwuguo

shiganwuguo      16 小时 0 分钟前 via Android

做透明代理小心 dns 泄漏

0o0O0o0O0o

0o0O0o0O0o      15 小时 55 分钟前 via iPhone

@heiher 我曾经有一个需要全局代理的方案用的是 wireguard over vmess+websocket over cloudflare+tls ,接下来也是打算继续扩展这个方案,看看能不能通过 adguardhome 和 ipset 在这基础上实现分流

yanqiyu

yanqiyu      15 小时 27 分钟前

wireguard + netns 按照需求将程序启动在不同的 netns 里面

y1y1

y1y1      11 小时 20 分钟前 via iPhone

v2raya clash

jeanz

jeanz      10 小时 43 分钟前 via Android

hyper-v 开个虚拟机装 openwrt

pigmen

pigmen      10 小时 36 分钟前

clash + iptables 跑在路由器上

lazywen

lazywen      10 小时 4 分钟前 via Android

@xmlf 这个插件可以满足的

sprite82

sprite82      9 小时 4 分钟前

带软路由+1 、2 根网线的,这真的有必要吗,难道还常住外面?出差干活是主要目的,旅游玩是主要目的,带这么多杂七杂八的多不方便。
一个 clash_for_windows 就够了,全平台都能用,开个 tun 模式,直接全局代理,win 可以笔记本开热点,mac 可以直接设为旁路网关,这样手机也能用了。再不行,开个虚拟机做旁路由也行,分个一、二百兆内存够了。
带软路由的,还要找网口,找插座。。。

xmlf

xmlf      2 小时 48 分钟前

@lazywen 有个问题要请教。

有必要把 cloudflare 的 ip 写到 iptables 中 redirect 到远端吗?解析延迟

能放出您的 iptables 规则让我学习一下吗?谢谢!

jobmailcn

jobmailcn      2 小时 3 分钟前 via Android

试过 socks2tun+route+doh ,代理内部做分流,性能损失有点大,200M 宽带,没有透明代理能跑 240M ,透明代理后只能 170

lazywen

lazywen      18 分钟前 via Android

@xmlf 非常有必要,不同区域解析得到的 ip 不一样,你所在区域解析得到的 ip 是当前区域访问速度的最优解,把 cloudflare 的 DOH ip 加入作转发的 ipset 中就行了,转发 TCP 流量就够了,像 1.0.0.1 也是支持 DOH 的

report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK