科学上网，服务器上开透明代理方法很多，但是如何才能不代理本机

我是直接起了台虚拟机桥接网卡跑 uu 加速器

首先你说的是错的，如果不是透明代理，那么默认不可能代理本地请求。除非客户端指定使用代理。

其次，要看透明代理的『透明』流量转发是什么，比如 iptables + redir ，很容易插入一条本机流量例外的规则。

可以让本机（跑 clash ）的机器不走代理的。
centos docker 跑个 clash 也可以的。

@Puteulanus 也是一个办法，但是不太适合我的 homelab ，不想换系统了
@rrfeng 如果 clash 这类工具可以只启动 http/socks 的话就好了。iptable+redir 加本地流量例外我觉得这个办法倒是不错，可以操作试试

@dcty 可以让本机（跑 clash ）的机器不走代理的。 ------> 是需要设置 iptables 吗？
centos docker 跑个 clash 也可以的。 ---------> 用 bridge network ，留出来代理的端口，直接给局域网内其他设备连 http 、socks ，如果这个理解没错的话，我感觉这个就完美解决了我的需求

虚拟机装个 openwrt ，openwrt 再装 shadowsocks ，xbox 走 openwrt ，或闲鱼收个 50 左右 MT7620A 路由做旁路由，可以刷 openwrt 的。

centos 机器用 libvirt 开一个虚拟机，在虚拟机上搞透明代理就好了

本机发送的 IP 报文，和转发的 IP 报文，在 Linux ip_output 函数之前走的是不同的路径
本机发送：ip_local_out() -> Netfilter OUTPUT hook -> ip_output() -> Netfilter POSTROUTING hook -> ip_finish_output()
转发：ip_rcv() -> Netfilter PREROUTING hook -> ip_rcv_finish() -> ip_forward() -> Netfilter FORWARD hook -> ip_forward_finish() -> ip_output() -> Netfilter POSTROUTING hook -> ip_finish_output()

透明代理，无非是 iptables DNAT/REDIRECT/TPROXY 规则，插入到 PREROUTING 就是代理转发，插入到 OUTPUT 就是代理本机。

https://github.com/SuLingGG/OpenWrt-Docker
正好是前几天我折腾的，用 docker 跑个 openwrt 作为旁路由，供局域网内其他机器科学上网。

请教下 OP ，服务器上网也走 clash 的话，那其他机子访问服务器里的服务是能正常访问吗？

@IvanLi127 正常，一般 clash 的 yaml 规则里都会过滤局域网段的流量，局域网段的流量不会走到 clash 里

@LGA1150 清晰专业，大佬受我一拜！

@wanmyj 这样，我还以为我能抄作业了，哈哈。其实我想国内服务器上全局代理，看来还是只能手动排除服务监听的端口

本机流量和转发流量的 hook 点本来就不一样啊，一个在 prerouting 一个在 output 。

clash 本身不是就支持 http/socks 代理的吗？直接不用透明代理不行的吗

路由器设置 pac 是不是就可以

用旁路由很好解决，需要走代理的设备网关设置为旁路由，不需要的设备网关用主路由

如果透明代理的方式改成 fakeip ，只要修改 dns 就可以决定哪些机器不走代理。

开虚拟机跑个 iStoreOS 再装科学插件，这货自带旁路由模式，设置简单很多

你是用的一键脚本吧，自己配置你不专门劫持本机出站流量本身就不会代理本机。

@fish3125 只修改 dns 就可以决定哪些机器不走代理，这个是什么原理，怎么做到的，愿闻其详

xray 可以，但是切节点比较费事

1. 把 dns 解析转发给 clash 的 dns 端口。然后 clash 会按照你在 clash 里的规则来返回正常或者 fakeip 。
我是用 adg 只把 gfw 列表转发给 clash ，让 clash 的 dns 返回的全是 fakeip 。

2. 如果用开源的 clash ，没有 tun 模式，但是可以把 fakeip 转发给 clash 的 redir-port ，内部会自动完成正确域名的转换。
iptables -t nat -A OUTPUT -p tcp -d 198.18.0.0/16 -j REDIRECT --to-port 8088
iptables -t nat -A PREROUTING -p tcp -d 198.18.0.0/16 -j REDIRECT --to-port 8088 #把 ip 段重定向到 clash 的 redir-port

只要解析不经过 clash 的 dns ，就不会走透明代理。

fakeip 模式个人使用下来比使用 ipset 来创建 ip 集合的模式稳定，
让 clash 的 dns 返回的全是 fakeip ,clash 的配置文档也只需要添加
```
dns:
enable: true
listen: 0.0.0.0:8088
enhanced-mode: fake-ip
nameserver:
- 8.8.8.8
```

修改下，端口打错了。。
fakeip 模式个人使用下来比使用 ipset 来创建 ip 集合的模式稳定，
让 clash 的 dns 返回的全是 fakeip ,clash 的配置文档也只需要添加
```
dns:
enable: true
listen: 0.0.0.0:8089 #这个是 clash 的 dns 端口，
enhanced-mode: fake-ip
nameserver:
- 8.8.8.8
```

开个 4C2G 虚拟机装 OpenWrt ，上面挂 ShadowsocksR Plus+，哪个设备需要翻墙哪个设备就网关指向 OP ，你路由器支持的话还可以在设置里修改 DHCP 服务器分配网关为 OP 的地址，简单旁路由就这样做好啦。

clash 和 v2ray 默认不就是只开一个 http/socks 代理吗？
你的需求很简单，不要用什么整合了一大堆功能的软件，只用 clash 或者 v2ray 本身，自己写个脚本生成配置文件就好了
没有用过 xbox ，我只能说 ps 和 steam deck 是可以直接走 http 或者 socks 代理的。设备上面手动配置一下就可以了
可能需要在防火墙里面放行对应端口

直接规则里加一条服务器 ip 直连就行了吧

现在没玩软路由了。我是家用路由器刷的梅林固件，来加速 Xbox 游戏机的。猫咪插件默认不代理路由器自身流量

请问这个如何解决的，开启 v2ray 后，希望默认不要走透明代理，我发现全部流量都经过了 tproxy ，我想默认直连，不经过 v2ray, 连接端口 10801 时才走 v2ray

@sbmzhcn 我后来把 iptable 重新学习了一遍，参考 @LGA1150 的回答。
这个要看一下自己的 iptables ，看下 TPROXY 规则插入的位置和内容。

当时弄了一圈虽然弄好了，但感觉挺麻烦的，后来直接不管这个了，时间和学习代价太高，收益低。

@wanmyj 谢谢回答，这个应该挺麻烦的，我看了下自己机器 Centos7 iptables 是空的，所以不明白它怎么实现所有的流量走 v2ray 的，答案还是需要搞 iptables

@sbmzhcn iptables 如果全是空，肯定是无法实现代理的。如果已经实现了本机代理，你要看下你 iptables 的 PREROUTING 和 OUTPUT 的几张表，里面应该有内容