想知道你们的透明代理方案

@wgq2633 我也喜欢这种，而不是用代理的规则匹配，感觉非常的慢，还污染。

@wgq2633 用 nftables 也方便，内置 ipset 支持策略分流，还内置支持 bridge 层的过滤，不想动主路由的话，桥接在主路由之间，匹配内网设备的 mac 开关代理。

clash premium 启用 tun

redirect+iptables
https://blog.ismisv.com/2015/09/raspberry-pi-as-a-fucking-gfw-gateway/
https://blog.ismisv.com/2016/12/anti-gfw-router-on-banana-pi-r1/

wgq2633 的方案再加一条，dnsmasq 域名规则里面的域名使用 cloudflare 的 dns over https 做解析，并用 iptables 把 cloudflare 的 ip redir 到 tpoxy

@lazywen @wgq2633 之前我也是这种方案，只是后来用 clash 就用 clash 的域名规则了

@lazywen dnsmasq 用 over https 是要 openwrt 安装 https dns proxy 插件吗？

我是出差都带个 r2s 和两根短网线，不想折腾了

Windows for clash 不就行了？

笔记本，就开个 socks5 和 http 代理，可以横着走

@guanzhangzhang #28 我以前和 #16 差不多，旅行会带个已经配置好的 openwrt 的迷你路由器，和网上买的山泽那种超细网线，还能有无线功能，住酒店对网速要求也不高。比较省心，但是在有些场景还是麻烦，所以我仍然在探索一个适合我的能在笔记本上搞定的方案。

clash_for_windows 就好辣

@BaiLinfeng 透明，顾名思义，看不到。

家里是 x86 工控机(双网口配置成了路由器) arch + ss-tproxy + hysteria
自己的笔记本 arch + ss-tproxy + hysteria
好像一样，哈哈

@heiher 话说我看了这个的说明，请问 UDP over TCP 这功能是只能连接他开发的 sock5 服务端，不能用 clash 之类给的 socks5 地址？那这...不会被阻断的？走 cdn 是咋操作，有教程或文档吗。谢谢 QwQ

@KoMAsS121 确实，因为 socks5 标准的 udp 转发是走 udp 协议的，这里 over TCP 是扩展实现，所以服务器端要匹配哈。一般还要套 TCP 流量转发，socks5-tproxy <-- tcp forward --> socks5 server ，tcp forward 部分自由发挥~ 比如 tcp forward 封装成 http-stream 就可以走 CDN 啦~

做透明代理小心 dns 泄漏

@heiher 我曾经有一个需要全局代理的方案用的是 wireguard over vmess+websocket over cloudflare+tls ，接下来也是打算继续扩展这个方案，看看能不能通过 adguardhome 和 ipset 在这基础上实现分流

wireguard + netns 按照需求将程序启动在不同的 netns 里面