关于 `auto-redirect: true` 的问题: 导致来自 inet4_local_address_set 的 53 DNS 请求最终被 drop , 导致超时. #2491

Delta-in-hub · 2026-01-08T14:14:21Z

Delta-in-hub
Jan 8, 2026

使用的版本是: metacubex/mihomo:latest 89fffd5b2fde , 使用 docker nework=host 部署.
配置是:

tun:
  auto-redirect: true  # Here !!!!
  enable: true
  stack: system
  dns-hijack:
    - "any:53"
    - "tcp://any:53"
  auto-route: true
  auto-detect-interface: true
  strict-route: true

dns:
  enable: true
  listen: 0.0.0.0:53

遇到的问题是: 局域网中的其他机器访问部署mihomo的机器监听的DNS 53 接口的时候, 会导致查询超时.
在关闭 auto-redirect 后, 一切恢复正常.

以下是解释:

0) 先定住这个包长什么样

从 LAN 另一台机器发出来的包估计是：

SRC=192.168.28.X
DST=192.168.28.158
PROTO=UDP（nslookup 默认 UDP，必要时会回退 TCP）
DPORT=53

它从树莓派的 wlan0 进入。

1) 为什么你看到这条 DNAT 计数在涨

你确认命中的规则是：

ip saddr @inet4_local_address_set meta l4proto { tcp, udp } th dport 53 \
  counter dnat ip to 198.18.0.2

而集合 inet4_local_address_set 包含 192.168.28.0/24，所以 LAN 上任何 192.168.28.X 的 DNS 请求都会命中这条规则。

命中后，内核把这个包的目的地址改成：

DST=198.18.0.2
DPORT=53（端口不变）

2) 关键拐点：DNAT 之后，包不再“发给本机”，而变成“需要转发”

DNAT 前

目的地 192.168.28.158 是本机地址
→ 正常应该走 INPUT（交给本机 53 端口的 DNS 服务）

DNAT 后

目的地变成 198.18.0.2
198.18.0.0/30 dev Meta（你 ip route 里有这条）

198.18.0.2 不是本机 wlan0 的地址，而是在 Meta 这条虚拟链路上（通常是 tun/tap/虚拟网卡对端）。

→ 内核会把它判定为：需要从 wlan0 转发到 Meta
→ 于是走 FORWARD 链

而你当前 ip filter FORWARD 是 policy drop，并且只有 Docker 相关的跳转链，并没有放行 wlan0 -> Meta 的 53，所以包被丢掉，客户端就超时。

nft表:

raspberrypi ~> sudo nft list ruleset
table ip filter {
        chain FORWARD {
                type filter hook forward priority filter; policy drop;
                counter packets 1696490 bytes 137433659 jump DOCKER-USER
                counter packets 1696490 bytes 137433659 jump DOCKER-FORWARD
        }

        chain DOCKER-USER {
                counter packets 1696490 bytes 137433659 return
        }

        chain DOCKER-FORWARD {
                counter packets 1696490 bytes 137433659 jump DOCKER-CT
                counter packets 863562 bytes 70979316 jump DOCKER-INTERNAL
                counter packets 863562 bytes 70979316 jump DOCKER-BRIDGE
                iifname "docker0" counter packets 0 bytes 0 accept
                iifname "br-7af92daeb4ec" counter packets 47927 bytes 6216511 accept
        }

        chain DOCKER {
                iifname != "docker0" oifname "docker0" counter packets 0 bytes 0 drop
                iifname != "br-7af92daeb4ec" oifname "br-7af92daeb4ec" counter packets 0 bytes 0 drop
        }

        chain DOCKER-BRIDGE {
                oifname "docker0" counter packets 0 bytes 0 jump DOCKER
                oifname "br-7af92daeb4ec" counter packets 0 bytes 0 jump DOCKER
        }

        chain DOCKER-CT {
                oifname "docker0" ct state related,established counter packets 0 bytes 0 accept
                oifname "br-7af92daeb4ec" ct state related,established counter packets 38613 bytes 8722896 accept
        }

        chain DOCKER-INTERNAL {
        }
}

table inet mihomo {
        set inet4_local_address_set {
                type ipv4_addr
                flags interval
                elements = { 10.126.126.0/24, 127.0.0.0/8,
                             172.17.0.0/16, 172.30.30.0/29,
                             192.168.28.0/24, 198.18.0.0/30 }
        }

        chain output {
                type nat hook output priority mangle; policy accept;
                oifname "Meta" meta nfproto ipv4 meta l4proto tcp counter packets 0 bytes 0 redirect to :36411 return
        }

        chain prerouting {
                type nat hook prerouting priority dstnat + 1; policy accept;
                iifname "Meta" counter packets 0 bytes 0 return
                iifname { "", "", "" } counter packets 160 bytes 11044 return
                ip daddr { 172.30.30.0/29 } counter packets 0 bytes 0 return
                ip saddr @inet4_local_address_set meta l4proto { tcp, udp } th dport 53 counter packets 4 bytes 238 dnat ip to 198.18.0.2
                ip daddr @inet4_local_address_set counter packets 0 bytes 0 return
                tcp option 30 exists counter packets 0 bytes 0 drop
                meta nfproto ipv4 meta l4proto tcp counter packets 0 bytes 0 redirect to :36411 return
        }
}

重点

table ip filter {
        chain FORWARD {
                type filter hook forward priority filter; policy drop;
                counter packets 1696490 bytes 137433659 jump DOCKER-USER
                counter packets 1696490 bytes 137433659 jump DOCKER-FORWARD
        }


ip saddr @inet4_local_address_set meta l4proto { tcp, udp } th dport 53 counter packets 4 bytes 238 dnat ip to 198.18.0.2

结论

别用 auto-redirect: true 就行了, 不用万事大吉.

说明一下是否用auto-redirect的区别:

关闭auto-redirect：
-通过路由表到TUN接口
开启auto-redirect：
-通过 nftables PREROUTING重定向到mihomo 的一个随机高位端口

个人觉得没什么区别.

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

关于 `auto-redirect: true` 的问题: 导致来自 inet4_local_address_set 的 53 DNS 请求最终被 drop , 导致超时. #2491

Uh oh!

{{title}}

Uh oh!

Replies: 0 comments

Select a reply

Uh oh!

关于 auto-redirect: true 的问题: 导致来自 inet4_local_address_set 的 53 DNS 请求 最终被 drop , 导致超时. #2491

Uh oh!

Delta-in-hub Jan 8, 2026

0) 先定住这个包长什么样

1) 为什么你看到这条 DNAT 计数在涨

2) 关键拐点：DNAT 之后，包不再“发给本机”，而变成“需要转发”

DNAT 前

DNAT 后

重点

结论

Replies: 0 comments

关于 `auto-redirect: true` 的问题: 导致来自 inet4_local_address_set 的 53 DNS 请求最终被 drop , 导致超时. #2491

Delta-in-hub
Jan 8, 2026