TProxy 透明富强
TProxy 透明富强(透明网关模式)是针对 Linux 软路由或 NAS 网关环境的高级流量劫持配置,能够无感接管局域网内所有设备的网络通信。
防火墙与路由表工作机制
启用透明富强后,Fluxor 后端会自动检测并在系统底层调用 nftables 和 ip route 工具。其在系统后台下发的操作链如下:
- 注册 nftables 防火墙表:在内核中创建名为
ip fluxor_tproxy的过滤表。 - 劫持流量:在预路由(PREROUTING)链中,把局域网设备入站的 TCP/UDP 流量拦截,重定向重构至您配置的
tproxy_port监听端口上(默认 7898)。 - 标记与路由表分流:对需要富强的流量打上防火墙标记
fwmark 1,并自动在系统层下发策略路由,将带fwmark 1标记的流量重路由分流到策略路由表100中完成富强出站。
例外列表管理
为了防止不必要的流量进入富强内核,或者让特定的局域网设备直接直连,您可以在「配置」页面的 TProxy 例外列表中设置过滤规则:
1. 目的例外 (Destination Bypass)
- 作用:控制哪些外部目标 IP、网段或端口不走富强。
- 规则:
- 支持输入单个 IP 或 CIDR 目标网段(例如
223.5.5.5或114.114.114.114,可实现让 DNS 请求直连)。 - 支持输入特定协议和端口限制(例如输入
53,或者输入tcp:80表示所有 80 端口的 TCP 请求都将直连通过,不被劫持)。
- 支持输入单个 IP 或 CIDR 目标网段(例如
2. 源例外 (Source Bypass)
- 作用:控制哪些局域网内部设备不需要经过面板富强(仅对入站流量生效)。
- 规则:
- 输入目标客户端主机的局域网 IP 或子网网段(例如输入
192.168.1.120,则该特定 IP 设备的流量将被防火墙在 PREROUTING 阶段直接放行,绝对不会通过 TProxy 劫持)。
- 输入目标客户端主机的局域网 IP 或子网网段(例如输入
本机出站富强 (Proxy Local)
- 原理:TProxy 默认只对局域网内其他设备的入站流量起作用,面板主机自身的本地出站流量默认是直连的。
- 开启后:如果您希望运行 Fluxor 面板的主机自身也走富强,需要开启“本机富强”开关。开启后,后台会将本机出站(OUTPUT)链中的流量也纳入 nftables 劫持范围,通过路由环回技术引流回
tproxy_port端口。
与 TUN 模式的互斥强防呆
- 互斥原因:TUN 虚拟网卡是通过创建
utun设备并修改系统默认网关(Default Gateway)来实现系统层流量捕获的;而 TProxy 是基于 nftables 规则和策略路由进行流量重定向的。如果两者同时开启,系统路由表会发生严重冲突,直接导致物理网卡断连甚至死锁。 - 防呆逻辑:
- 面板已在后台实现了防呆逻辑:开启 TUN 模式会自动关闭 TProxy;开启 TProxy 模式则会自动停用 TUN 虚拟网卡。
- 如果 TProxy 端口为 0,前台会拦截操作并弹出警告以防误操作。
