Skip to content

TProxy 透明富强

TProxy 透明富强(透明网关模式)是针对 Linux 软路由或 NAS 网关环境的高级流量劫持配置,能够无感接管局域网内所有设备的网络通信。


防火墙与路由表工作机制

启用透明富强后,Fluxor 后端会自动检测并在系统底层调用 nftablesip route 工具。其在系统后台下发的操作链如下:

  1. 注册 nftables 防火墙表:在内核中创建名为 ip fluxor_tproxy 的过滤表。
  2. 劫持流量:在预路由(PREROUTING)链中,把局域网设备入站的 TCP/UDP 流量拦截,重定向重构至您配置的 tproxy_port 监听端口上(默认 7898)。
  3. 标记与路由表分流:对需要富强的流量打上防火墙标记 fwmark 1,并自动在系统层下发策略路由,将带 fwmark 1 标记的流量重路由分流到策略路由表 100 中完成富强出站。

例外列表管理

为了防止不必要的流量进入富强内核,或者让特定的局域网设备直接直连,您可以在「配置」页面的 TProxy 例外列表中设置过滤规则:

1. 目的例外 (Destination Bypass)

  • 作用:控制哪些外部目标 IP、网段或端口不走富强。
  • 规则
    • 支持输入单个 IP 或 CIDR 目标网段(例如 223.5.5.5114.114.114.114,可实现让 DNS 请求直连)。
    • 支持输入特定协议和端口限制(例如输入 53,或者输入 tcp:80 表示所有 80 端口的 TCP 请求都将直连通过,不被劫持)。

2. 源例外 (Source Bypass)

  • 作用:控制哪些局域网内部设备不需要经过面板富强(仅对入站流量生效)。
  • 规则
    • 输入目标客户端主机的局域网 IP 或子网网段(例如输入 192.168.1.120,则该特定 IP 设备的流量将被防火墙在 PREROUTING 阶段直接放行,绝对不会通过 TProxy 劫持)。

本机出站富强 (Proxy Local)

  • 原理:TProxy 默认只对局域网内其他设备的入站流量起作用,面板主机自身的本地出站流量默认是直连的。
  • 开启后:如果您希望运行 Fluxor 面板的主机自身也走富强,需要开启“本机富强”开关。开启后,后台会将本机出站(OUTPUT)链中的流量也纳入 nftables 劫持范围,通过路由环回技术引流回 tproxy_port 端口。

与 TUN 模式的互斥强防呆

  • 互斥原因:TUN 虚拟网卡是通过创建 utun 设备并修改系统默认网关(Default Gateway)来实现系统层流量捕获的;而 TProxy 是基于 nftables 规则和策略路由进行流量重定向的。如果两者同时开启,系统路由表会发生严重冲突,直接导致物理网卡断连甚至死锁。
  • 防呆逻辑
    • 面板已在后台实现了防呆逻辑:开启 TUN 模式会自动关闭 TProxy;开启 TProxy 模式则会自动停用 TUN 虚拟网卡
    • 如果 TProxy 端口为 0,前台会拦截操作并弹出警告以防误操作。