关于使用 nftables 实现透明代理的几点疑问 #2434

imotosaiko · 2023-08-11T14:23:19Z

imotosaiko
Aug 11, 2023

我通过阅读 https://xtls.github.io/document/level-2 的几篇文章大概了解了相关的步骤和原理。但是在应用的时候遇到有几点疑问：

据 [https://wiki.nftables.org/wiki-nftables/index.php/Netfilter_hooks](nftables wiki) 的说法，本机应用程序产生的数据包经过 output hook 之后是不会再次经过 prerouting hook 的。而进阶文档的几篇文章中均只配置了 prerouting hook 中的 tproxy 。但是他们中有在 output hook 中对符合条件的包进行了 meta mark set （这给我极大的迷惑，既然通过 meta mark 判断是否进行 tproxy 的 statement 在 pretouting hook 里，为什么要对这些根本不会再经过 prerouting hook 的包进行 meta mark set 呢？）
如果上一条我的理解没有问题的话（如果有的话请不吝指出！因为我最近查阅了许多 nftables 的资料，还去询问了 chatgpt 但是都没有让我弄明白），那么我应该如何将本机程序产生的数据包也转发到 Xray 中呢？我按照自己的理解编写了下面的 nftable 配置文件：

#!/sbin/nft -f

flush ruleset

define RESERVED_IP = {
    10.0.0.0/8,
    100.64.0.0/10,
    127.0.0.0/8,
    169.254.0.0/16,
    172.16.0.0/12,
    192.0.0.0/24,
    224.0.0.0/4,
    240.0.0.0/4,
    255.255.255.255/32
}

table ip xray {
    chain output {
        type route hook output priority mangle; policy accept;
        ip daddr $RESERVED_IP return
        ip daddr 192.168.0.0/16 tcp dport != 53 return
        ip daddr 192.168.0.0/16 udp dport != 53 return
        meta mark 1 return
        ip protocol tcp meta mark set 1
        ip protocol udp meta mark set 1
        ip protocol tcp tproxy to 127.0.0.1:10808
        ip protocol udp tproxy to 127.0.0.1:10808
    }
}

这里说明一下，按照我的需求，我只想要在自己的电脑上代理所有本机程序，而不是把自己的电脑当作路由器代理整个局域网的流量，所以我只写了 output hook 的部分，其中 10808 是我的 Xray-core 中 dokodemo-door 入站的端口。当我执行上面的配置的时候，我得到了下面的报错：

./xray.nft:26:9-49: Error: Could not process rule: Operation not supported
        ip protocol tcp tproxy to 127.0.0.1:10808
        ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
./xray.nft:27:9-49: Error: Could not process rule: Operation not supported
        ip protocol udp tproxy to 127.0.0.1:10808
        ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

然后我拿着这个去问 ChatGPT 的时候，它跟我说也许 output hook 里不能用 tproxy ，建议我用 redirect ，但是我用了 redirect 后还是同样的报错它又变脸说也许该试试 tproxy 。。。

在尝试的期间，我也试了进阶文档中给出的配置，但是在使用了之后对我的本机程序的流量完全不起作用，Xray的日志中也没有看到有流量进入了 dokodemo-door 入站的迹象

最后补充一下自己的环境：
操作系统是 Gentoo Linux
nftables 版本为 nftables v1.0.7

azzvx · 2023-08-12T04:48:35Z

azzvx
Aug 12, 2023

output链不允许tproxy.
redirect不支持udp.

下面是我在用的nftables规则，你可以参考一下。

#!/bin/sh
ip rule add fwmark 0x1 table 100
ip route add local 0.0.0.0/0 dev lo table 100

table inet ray
flush table inet ray

table inet ray {
	set private {
		type ipv4_addr
		flags interval
		elements = { 0.0.0.0/8, 10.0.0.0/8, 100.64.0.0/10, 127.0.0.0/8,
					169.254.0.0/16, 172.16.0.0/12, 192.0.0.0/24, 192.0.2.0/24,
					192.88.99.0/24, 192.168.0.0/16, 198.18.0.0/15, 198.51.100.0/24,
					203.0.113.0/24, 224.0.0.0/4, 240.0.0.0/4 }
	}

	set private6 {
		type ipv6_addr 
		flags interval
		elements = { ::/128, ::1/128, ::ffff:0:0/96, 100::/64,
					64:ff9b::/96, 2001::/32, 2001:10::/28, 2001:20::/28,
					2001:db8::/32, 2002::/16, fc00::/7, fe80::/10,
					ff00::/8 }
	}

	set direct { type ipv4_addr; flags interval; }
	set direct6 { type ipv6_addr; flags interval; }
	set china { type ipv4_addr; flags interval; }
	set china6 { type ipv6_addr; flags interval; }
	
	chain direct {
		meta l4proto != { tcp, udp } counter accept
		th dport 123 counter accept comment "时间同步"
		ip daddr @private counter accept comment "私有IP"
		ip6 daddr @private6 counter accept comment "私有IP"
		ip daddr @direct counter accept comment "直连IP"
		ip6 daddr @direct6 counter accept comment "直连IP"
		ip daddr @china counter accept comment "国内IP"
		ip6 daddr @china6 counter accept comment "国内IP"
	}

	chain divert {
		type filter hook prerouting priority mangle; policy accept;
		meta l4proto tcp socket transparent 1 meta mark set 0x01 counter accept
	}

	chain prerouting  {
		type filter hook prerouting priority filter; policy accept;
		jump direct
		meta l4proto { tcp, udp } meta mark set 0x01 tproxy ip to :8090 counter accept comment "Xray"
		meta l4proto { tcp, udp } meta mark set 0x01 tproxy ip6 to :8090 counter accept comment "Xray"
	}
	
	chain output {
		type route hook output priority filter; policy accept;
		meta mark 0xff counter accept comment "Xray发出的连接"
		jump direct
		meta l4proto { tcp, udp } mark set 0x01 counter accept comment "重路由"
	}
}

0 replies

sensec · 2023-08-29T13:25:01Z

sensec
Aug 29, 2023

在output链打上mark，再利用本机路由表让它进入prerouting链，这就解决了“output链不允许tproxy”问题。
https://blog.indigo.codes/2021/11/20/iptables-tproxy-and-home/#output-%E5%92%8C-prerouting-chain

0 replies

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Uh oh!

关于使用 nftables 实现透明代理的几点疑问 #2434

Uh oh!

{{title}}

Uh oh!

Uh oh!

{{editor}}'s edit

{{editor}}'s edit

Uh oh!

Replies: 2 comments

Uh oh!

{{title}}

Uh oh!

Uh oh!

{{title}}

Uh oh!

Select a reply

Uh oh!

关于使用 nftables 实现透明代理的几点疑问 #2434

Uh oh!

Uh oh!

imotosaiko Aug 11, 2023

Replies: 2 comments

Uh oh!

azzvx Aug 12, 2023

Uh oh!

sensec Aug 29, 2023

imotosaiko
Aug 11, 2023

azzvx
Aug 12, 2023

sensec
Aug 29, 2023