OpenWrt上直接使用mihomo通过nftables实现透明代理的经验分享

[jelly21fish]

之前，在 #1320 这个issue中，我提到自己试图直接使用mihomo内核，实现软路由的透明代理。

之所以想要尝试，是因为使用OpenClash时出现bug，我觉得如果能直接运行内核，OpenClash的问题就更容易排查。不过当时我并未成功。但随着OpenClash的bug被修复，我也意识到问题可能出在什么地方~

我一开始的操作逻辑是，复制OpenClash运行时的nftables配置。关闭之后再应用它。然后设置Dnsmasq转发，最后开启mihomo。结果，直连流量出现了loopback错误。

通过观察OpenClash对bug的修复，我发现问题出在mihomo进程的uid上。为了实现路由本机代理（很多教程都没有涉及它），Openclash将进程的uid设置为nobody。而我之前漏掉了这一步，使得针对nobody的防火墙规则没有生效。

那么，接下来只需要模仿OpenClash的做法，让mihomo以nobody的用户等级运行即可。终于，之前的报错不再出现了~

因为增加了对防火墙的理解，现在，我可以自己配置，让tproxy代理ipv4 tcp了，这是OpenClash不支持的功能~下面是具体的命令分享！

---

更新：已经成功通过修改ShellCrash的防火墙配置实现了ipv6的tproxy本机代理！之后也会分享修改后的配置~

[jelly21fish]

其实很多步骤都可以用图形化界面实现，全部写成命令属实多此一举，但这或许也能作为其他情况的参考。
以下是详细步骤：

1）下载内核。
wget https://github.com/MetaCubeX/mihomo/releases/download/Prerelease-Alpha/mihomo-linux-arm64-alpha-1457f83.gz -O /tmp/mihomo.gz
链接根据想使用的版本来修改，直连状态还需要改为镜像、CDN加速的网址，如：
wget https://wget https://gh.api.99988866.xyz/https://github.com/MetaCubeX/mihomo/releases/download/Prerelease-Alpha/mihomo-linux-arm64-alpha-1457f83.gz -O /tmp/mihomo.gz
随后进行解压、移动、赋权，用于执行的文件夹也可能是/usr/local/bin。
gzip -d /tmp/mihomo.gz
mv /tmp/mihomo /usr/bin/mihomo
chmod 777 /usr/bin/mihomo
最后创建一个存放配置的文件夹。
mkdir -p /mihomo

2）OpenClash运行时，复制其nftables配置。
nft list ruleset > /etc/nftables.conf
关闭OpenClash，应用nftables配置。
nft -f /etc/nftables.conf
或者自己创建nftables配置，下面我会提供一个tproxy代理tcp的参考模板。
vi /etc/nftables.conf
粘贴配置，点击ESC，输入:wq保存退出。应用配置同上。

3）修改DHCP/DNS，添加DNS转发：127.0.0.1#7874，也可以用命令实现。
vi /etc/config/dhcp
找到包含config dnsmasq的段落，点击INSERT，修改或添加以下内容：
option noresolv '1'
list server '127.0.0.1#7874'
点击ESC输入:wq保存退出，重启Dnsmasq。
/etc/init.d/dnsmasq restart
也可以直接使用命令：
uci -q set dhcp.@dnsmasq[0].noresolv=1
uci add_list dhcp.@dnsmasq[0].server='127.0.0.1#7874'
uci commit dhcp
service dnsmasq restart
如果OpenClash的DNS劫持选择了防火墙转发，那么使用其防火墙配置就无需修改Dnsmasq了。

4）添加路由规则：
ip route add local default dev lo scope host table 354
ip rule add from all fwmark 0x162 lookup 354
ip -6 route add local default dev lo scope host table 355
ip -6 rule add from all fwmark 0x162 lookup 355

5）创建一个配置文件。
vi /mihomo/mihomo.yaml
复制进你的配置，点击ESC输入:wq保存退出。

6）以nobody用户组运行mihomo，这就是我之前漏掉从而失败的环节。
capsh --caps="cap_sys_resource,cap_dac_override,cap_net_raw,cap_net_bind_service,cap_net_admin,cap_sys_ptrace+eip" -- -c "capsh --user=nobody --addamb='cap_sys_resource,cap_dac_override,cap_net_raw,cap_net_bind_service,cap_net_admin,cap_sys_ptrace' -- -c 'mihomo -d /mihomo -f /mihomo/mihomo.yaml'"
那一长串caps是为了赋予mihomo更多权限。
若启动过程中出现mmdb无法下载等情况，可以参考：https://wiki.metacubex.one/config/general/#geo_2
点击CTRL+C即可终止进程。若只关闭终端，程序仍会在后台运行，要用ps查询进程号再用kill关闭。

相比于OpenClash使用的命令，这里删去了后台运行和生成日志文件的内容，因为日志文件还需要额外操作，管理其大小等。
如果要持续使用、重启自动运行mihomo，还需要进行更多配置，下面会再补充。

[jelly21fish]

1）要实现重启自动运行，首先需要创建脚本，修改防火墙等配置：
vi /etc/init.d/nft

粘贴进以下内容：

#!/bin/sh /etc/rc.common

START=90
STOP=15

CONFFILE=/etc/nftables.conf
BACKUP_CONF=/etc/nftables_backup.conf
LOG_FILE="/var/log/my_service.log"
MAX_SIZE=1048576   #日志最多占用1MB

# 检查日志文件大小，并进行轮转
check_log_size() {
    if [ -f "$LOG_FILE" ]; then
        size=$(du -b "$LOG_FILE" | cut -f1)
        if [ $size -gt $MAX_SIZE ]; then
            mv "$LOG_FILE" "$LOG_FILE.old"
            touch "$LOG_FILE"
            echo "Log file rotated at $(date)" >> "$LOG_FILE"
        fi
    fi
}
# 设置全局的输出重定向到日志文件
exec >> $LOG_FILE 2>&1
# 在每次启动时检查日志文件大小
check_log_size

start_service() {
    # 保存当前的防火墙配置到备份文件
    nft list ruleset > $BACKUP_CONF

    # 应用新的防火墙配置
    nft -f $CONFFILE

    # 绕过本地公网IPv6
    nft 'delete set inet fw4 localnetwork6'
    nft 'add set inet fw4 localnetwork6 { type ipv6_addr; flags interval; auto-merge; }'
    nft 'add element inet fw4 localnetwork6 { ::/128, ::1/128, ::ffff:0:0/96, ::ffff:0:0:0/96, 64:ff9b::/96, 100::/64, 2001::/32, 2001:20::/28, 2001:db8::/32, 2002::/16, fc00::/7, fe80::/10, ff00::/8}'
    wan_ip6s=$(ifconfig | grep 'inet6 addr' | awk '{print $3}')
    if [ -n "$wan_ip6s" ]; then
         for wan_ip6 in $wan_ip6s; do
            nft add element inet fw4 localnetwork6 { "$wan_ip6" }
         done
    fi

    # 修改路由规则
    ip route add local default dev lo scope host table 354
    ip rule add from all fwmark 0x162 lookup 354
    ip -6 route add local default dev lo scope host table 355
    ip -6 rule add from all fwmark 0x162 lookup 355

    # 修改 DHCP 配置
    uci -q set dhcp.@dnsmasq[0].noresolv=1
    uci add_list dhcp.@dnsmasq[0].server='127.0.0.1#7874'
    uci commit dhcp
    service dnsmasq restart
}

stop_service() {
    # 恢复路由规则
    ip route del local default dev lo scope host table 354
    ip rule del from all fwmark 0x162 lookup 354
    ip -6 route del local default dev lo scope host table 355
    ip -6 rule del from all fwmark 0x162 lookup 355

    # 恢复之前的防火墙配置
    if [ -f $BACKUP_CONF ]; then
        $PROG -f $BACKUP_CONF
        rm $BACKUP_CONF
    fi

    # 恢复 DHCP 配置
    uci -q set dhcp.@dnsmasq[0].noresolv=0
    uci del_list dhcp.@dnsmasq[0].server='127.0.0.1#7874'
    uci commit dhcp
    service dnsmasq restart
}

保存退出。

然后就是赋予权限，启动脚本：

chmod 777 /etc/init.d/nft
service nft enable
service nft start

2）开启ipv6的情况下，防火墙有时会reload：firewall: Reloading firewall due to ifupdate of wan6 (eth0)
为此，要确保接口变化使防火墙reload时会加载我们的配置。

打开热插拔事件防火墙脚本进行编辑：
vi /etc/hotplug.d/iface/20-firewall

在最后添加对 nftables 脚本的调用。

……
logger -t firewall "Reloading firewall due to $ACTION of $INTERFACE ($DEVICE)"
fw4 -q reload
/etc/init.d/nft restart

保存退出。

3）最后，我们需要创建mihomo的脚本。
vi /etc/init.d/mihomo

粘贴内容：

#!/bin/sh /etc/rc.common

START=90
STOP=15

USE_PROCD=1
#PROCD_DEBUG=1

CONF=/mihomo
CONFFILE=/mihomo/mihomo.yaml
PROG=/usr/bin/mihomo
CAPS="cap_sys_resource,cap_dac_override,cap_net_raw,cap_net_bind_service,cap_net_admin,cap_sys_ptrace"

start_service() {
        procd_open_instance
        procd_set_param command capsh --caps="$CAPS+eip" -- -c "capsh --user=nobody --addamb='$CAPS' -- -c '$PROG -d $CONF -f $CONFFILE'"
        procd_set_param stdout 0   #不输出日志信息
        procd_set_param stderr 0   #不输出错误信息，测试时可改为1，平时关闭，否则会干扰系统日志的查看
        procd_set_param respawn ${respawn_threshold:-3600} ${respawn_timeout:-5} ${respawn_retry:-9}
        procd_close_instance
}

设置权限，启动脚本。

chmod 777 /etc/init.d/mihomo
service mihomo enable
service mihomo start

4）此外，我们还需要使用UI面板：
wget https://github.com/MetaCubeX/metacubexd/releases/download/v1.140.1/compressed-dist.tgz -O /tmp/ui.tgz
tar -xzvf /tmp/ui.tgz -C /mihomo/ui
在mihomo配置中，将UI的路径填写正确，重启mihomo即可。
/etc/init.d/mihomo restart

service nft restart也可以，想要关闭就用stop，查看状态status，关闭自启动disable。

[jelly21fish]

更新：已经成功通过修改ShellCrash的防火墙配置实现了ipv6的tproxy本机代理！之后也会分享修改后的配置~
此处先分享OpenClash用tproxy代理局域网、redirect代理本机的配置。

---

最后，给大家提供一个tproxy代理tcp流量（除了路由本机，OpenClash开发者说这个只能用redirect）的nft配置~是我参考其他贴文摸索出来的，已经测试成功了！

为了更加简洁，只展示与关闭代理时的防火墙不同的配置：

        set localnetwork {
                type ipv4_addr
                flags interval
                auto-merge
                elements = { 0.0.0.0/8, 10.0.0.0/8,
                             100.64.0.0/10, 127.0.0.0/8,
                             169.254.0.0/16, 172.16.0.0/12,
                             192.168.0.0/16, 224.0.0.0/3 }
        }

        set localnetwork6 {
                type ipv6_addr
                flags interval
                auto-merge
                elements = { ::/127,
                             ::ffff:0.0.0.0/96,
                             ::ffff:0:0:0/96,
                             64:ff9b::/96,
                             100::/64,
                             2001::/32,
                             2001:20::/28,
                             2001:db8::/32,
                             2002::/16,
                             [公网ip前缀1]::/64,
                             [公网ip前缀2]::/62,
                             fc00::/7,
                             fe80::/10,
                             ff00::/8 }
        }

        chain input {
                type filter hook input priority filter; policy drop;
                iifname "eth0" ip6 saddr != @localnetwork6 counter packets 0 bytes 0 jump openclash_wan6_input
                iifname "eth0" ip saddr != @localnetwork counter packets 0 bytes 0 jump openclash_wan_input
                ……[省略6行原有规则]
        }

        chain dstnat {
                type nat hook prerouting priority dstnat; policy accept;
                udp dport 53 counter packets 0 bytes 0 redirect to :53 comment "OpenClash DNS Hijack"
                tcp dport 53 counter packets 0 bytes 0 redirect to :53 comment "OpenClash DNS Hijack"
                iifname "eth0" jump dstnat_wan comment "!fw4: Handle wan IPv4/IPv6 dstnat traffic"
        }

        chain mangle_prerouting {
                type filter hook prerouting priority mangle; policy accept;
                meta nfproto ipv4 counter packets 0 bytes 0 jump openclash_mangle
                meta nfproto ipv6 counter packets 0 bytes 0 jump openclash_mangle_v6
        }

        chain nat_output {
                type nat hook output priority filter - 1; policy accept;
                ip protocol tcp counter packets 0 bytes 0 jump openclash_output
                meta nfproto ipv6 counter packets 0 bytes 0 jump openclash_output_v6
        }

        chain openclash_wan_input {
                udp dport { 7874, 7890, 7891, 7892, 7893, 7895, 9090 } counter packets 0 bytes 0 reject
                tcp dport { 7874, 7890, 7891, 7892, 7893, 7895, 9090 } counter packets 0 bytes 0 reject
        }

        chain openclash_mangle {
                meta nfproto ipv4 udp sport 500 counter packets 0 bytes 0 return
                meta nfproto ipv4 udp sport 68 counter packets 0 bytes 0 return
                meta l4proto udp iifname "lo" counter packets 0 bytes 0 return
                ip daddr @localnetwork counter packets 0 bytes 0 return
                udp dport 53 counter packets 0 bytes 0 return
                meta l4proto tcp ip daddr 198.18.0.0/16 meta mark set 0x00000162 tproxy ip to 127.0.0.1:7895 counter packets 0 bytes 0 accept
                meta l4proto udp ip daddr 198.18.0.0/16 meta mark set 0x00000162 tproxy ip to 127.0.0.1:7895 counter packets 0 bytes 0 accept
                ip daddr @wan_ac_black_ips counter packets 0 bytes 0 return
                ip protocol udp counter packets 0 bytes 0 jump openclash_upnp
                meta l4proto tcp meta mark set 0x00000162 tproxy ip to 127.0.0.1:7895 counter packets 0 bytes 0 accept
                meta l4proto udp meta mark set 0x00000162 tproxy ip to 127.0.0.1:7895 counter packets 0 bytes 0 accept
        }

        chain openclash_upnp {
        }

        chain openclash_output {
                ip daddr @localnetwork counter packets 0 bytes 0 return
                ip protocol tcp ip daddr 198.18.0.0/16 meta skuid != 65534 counter packets 0 bytes 0 redirect to :7892
                meta skuid != 65534 ip daddr @wan_ac_black_ips counter packets 0 bytes 0 return
                ip protocol tcp meta skuid != 65534 counter packets 0 bytes 0 redirect to :7892
        }

        chain openclash_output_v6 {
                ip6 daddr @localnetwork6 counter packets 0 bytes 0 return
                meta skuid != 65534 ip6 daddr @wan_ac_black_ipv6s counter packets 0 bytes 0 return
                meta nfproto ipv6 meta skuid != 65534 tcp dport 0-65535 counter packets 0 bytes 0 redirect to :7892
        }

        chain openclash_mangle_v6 {
                meta nfproto ipv6 udp sport 500 counter packets 0 bytes 0 return
                meta nfproto ipv6 udp sport 546 counter packets 0 bytes 0 return
                ip6 daddr @localnetwork6 counter packets 0 bytes 0 return
                meta nfproto ipv6 udp dport 53 counter packets 0 bytes 0 return
                ip6 daddr @wan_ac_black_ipv6s counter packets 0 bytes 0 return
                meta nfproto ipv6 tcp dport 0-65535 meta mark set 0x00000162 tproxy ip6 to :7895 counter packets 0 bytes 0 accept comment "OpenClash TCP Tproxy"
                meta nfproto ipv6 udp dport 0-65535 meta mark set 0x00000162 tproxy ip6 to :7895 counter packets 0 bytes 0 accept comment "OpenClash UDP Tproxy"
        }

        chain openclash_wan6_input {
                udp dport { 7874, 7890, 7891, 7892, 7893, 7895, 9090 } counter packets 0 bytes 0 reject
                tcp dport { 7874, 7890, 7891, 7892, 7893, 7895, 9090 } counter packets 0 bytes 0 reject
        }

[H2295]

感谢分享，正好我也想这样搞

[alchauvia1]

先点个赞

额试一下 sc ？
关了覆写后，除了端口号需要配合一下，就完全是一个内核+防火墙规则启动器了
相比oc安装方便
tproxy代理tcp也有

[jelly21fish]

谢谢！我试用了shellcrash，确实可以实现tproxy代理本机ipv4 tcp&udp！
不过，我发现ipv6的本机流量没有被代理，查阅nftables，发现 chain output 有一句meta nfproto ipv6 return。我试着把它注释掉，但是ipv6本机流量还是没有被代理。

更新：已经成功通过修改sc的防火墙配置实现了ipv6的tproxy本机代理~

[hoststgjrem]

（如果造成了meta开发者不满我可以道歉并删除）
楼主这么能研究不如直接上singbox
sing现在的开发日志基本说明世界大佬在琢磨裸核启动这块
同时sing占用更小
我因为必须用到策略组里的那个fallback，所以无法抛弃meta

[jelly21fish]

（如果造成了meta开发者不满我可以道歉并删除） 楼主这么能研究不如直接上singbox sing现在的开发日志基本说明世界大佬在琢磨裸核启动这块 同时sing占用更小 我因为必须用到策略组里的那个fallback，所以无法抛弃meta

哈哈哈，感觉meta对机场用户还是更友好，而且yaml文件更容易配置。sing-box的文件看得头大，主要还是太陌生，先把熟悉的工具运用好再去研究看看~

[hoststgjrem]

个人感觉sing比clash/meta更适合路由器运行，clash/meta还是更偏向桌面端一些。

如果是为了机场订阅proxyprovider的话可以先用PuerNya大佬的修改版内核，前面有说到的shellcrash就有这个内核。教程的话可以看DustinWin大佬的，基本都有了。

sing的配置文件其实还好，json只要括号对上就行，缩进和换行不是必要的。

借sing官方的范例举例，下面三个实际上是一模一样的，第三个就和meta的挺像，反正是写给自己看的，怎么顺怎么来。

{
  "dns": {
    "servers": [
      {
        "tag": "google",
        "address": "tls://8.8.8.8"
      },
      {
        "tag": "local",
        "address": "223.5.5.5",
        "detour": "direct"
      },
      {
        "tag": "remote",
        "address": "fakeip"
      }
    ],
    "rules": [
      {
        "outbound": "any",
        "server": "local"
      },
      {
        "query_type": [
          "A",
          "AAAA"
        ],
        "server": "remote"
      }
    ],
    "fakeip": {
      "enabled": true,
      "inet4_range": "198.18.0.0/15",
      "inet6_range": "fc00::/18"
    },
    "independent_cache": true
  },
  "inbounds": [
    {
      "type": "tun",
      "inet4_address": "172.19.0.1/30",
      "inet6_address": "fdfe:dcba:9876::1/126",
      "auto_route": true,
      "strict_route": true
    }
  ],
  "outbounds": [
    {
      "type": "direct",
      "tag": "direct"
    },
    {
      "type": "dns",
      "tag": "dns-out"
    }
  ],
  "route": {
    "rules": [
      {
        "protocol": "dns",
        "outbound": "dns-out"
      },
      {
        "geoip": [
          "private"
        ],
        "outbound": "direct"
      }
    ],
    "auto_detect_interface": true
  }
}

{"dns":{"servers":[{"tag":"google","address":"tls://8.8.8.8"},{"tag":"local","address":"223.5.5.5","detour":"direct"},{"tag":"remote","address":"fakeip"}],"rules":[{"outbound":"any","server":"local"},{"query_type":["A","AAAA"],"server":"remote"}],"fakeip":{"enabled":true,"inet4_range":"198.18.0.0/15","inet6_range":"fc00::/18"},"independent_cache":true},"inbounds":[{"type":"tun","inet4_address":"172.19.0.1/30","inet6_address":"fdfe:dcba:9876::1/126","auto_route":true,"strict_route":true}],"outbounds":[{"type":"direct","tag":"direct"},{"type":"dns","tag":"dns-out"}],"route":{"rules":[{"protocol":"dns","outbound":"dns-out"},{"geoip":["private"],"outbound":"direct"}],"auto_detect_interface":true}}

{"dns":{
    "servers":[
        {"tag":"google","address":"tls://8.8.8.8"},
        {"tag":"local","address":"223.5.5.5","detour":"direct"},
        {"tag":"remote","address":"fakeip"}],
    "rules":[
        {"outbound":"any","server":"local"},
        {"query_type":["A","AAAA"],"server":"remote"}],
    "fakeip":{"enabled":true,"inet4_range":"198.18.0.0/15","inet6_range":"fc00::/18"},
    "independent_cache":true},
"inbounds":[
    {"type":"tun","inet4_address":"172.19.0.1/30","inet6_address":"fdfe:dcba:9876::1/126","auto_route":true,"strict_route":true}],
"outbounds":[
    {"type":"direct","tag":"direct"},
    {"type":"dns","tag":"dns-out"}],
"route":{
    "rules":[
        {"protocol":"dns","outbound":"dns-out"},
        {"geoip":["private"],"outbound":"direct"}],
    "auto_detect_interface":true}}

[jelly21fish]

@hoststgjrem 😄感谢您的推介！第三个看起来舒服多了~