linux + Clash(mihomo) 实现简单的网关

发表于2024-12-15|更新于2026-01-12

|浏览量:|评论数:

折腾了一堆nftables和iptables方法把网络流量送到clash透明代理端口，偶然发现Clash.meta的tun模式实现了所有

这里在树莓派5，Raspberry Pi OS 系统 (debian系) 测试成功

要实现完整的路由器功能，只需要配置一下 mihomo 的 tun 模式和自带的 dns 转发服务器即可，参考下面配置，tun 和 dns 块可以直接抄，除了代理节点、代理组、规则要自己写。如果不成功，可以试试打开 Linux 内核转发功能

Linux 部署 mihomo 可以看我的另一篇教程：Linux 搭建 Clash WebUI（无桌面环境）|枯死的灌木

external-controller: '0.0.0.0:9090'

tun:
  enable: true
  stack: mixed
  auto-route: true
  auto-redirect: true
  auto-detect-interface: true
  dns-hijack:
    - any:53
    - tcp://any:53
  device: mihomo
  mtu: 9000
  strict-route: false
  gso: true
  gso-max-size: 65536
  udp-timeout: 300
  iproute2-table-index: 2022
  iproute2-rule-index: 9000
  endpoint-independent-nat: false
  route-exclude-address:
  - 172.16.0.0/12
  - 192.168.0.0/16
  - fc00::/7

dns:
    enable: true
    listen: 0.0.0.0:53
    ipv6: false
    default-nameserver: [223.5.5.5, 119.29.29.29]
    enhanced-mode: fake-ip
    fake-ip-range: 198.18.0.1/16
    use-hosts: true
    nameserver: ['https://doh.pub/dns-query', 'https://dns.alidns.com/dns-query']
    fallback: ['https://doh.dns.sb/dns-query', 'https://dns.cloudflare.com/dns-query', 'https://dns.twnic.tw/dns-query', 'tls://8.8.4.4:853']
    fallback-filter: { geoip: true, ipcidr: [240.0.0.0/4, 0.0.0.0/32] }

#代理节点
proxies:

#代理组
proxy-groups:

#路由规则
rules:

然后把其他设备的网关和 dns 指到刚才配置的 linux 主机即可

本站所有文章仅供学习了解，非盈利目的，请于下载后 24 小时内删除，不得用作任何商业用途。文字、数据及图片均有所属版权，如转载须注明来源。
务必循遵守所在地、所在国家和用户所在国家的法律法规，作者不对使用者任何不当行为负责。

文章作者: 枯死の灌木

文章链接: https://12520.net/archives/linux-mihomo-clash-gateway/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源灌木的小破站！

运维/实施🛠️网络🌐代理服务器🔗

相关推荐

hy2（Hysteria2）协议搭建简单代理（hy2官方服务端+Clash mihomo）

安装hy2服务端：先在域名服务商把你的域名解析到云服务器的ip地址这里使用的是Debian12系统使用官方脚本一键安装终端执行 bash <(curl -fsSL https://get.hy2.sh/) 编辑配置文件nano /etc/hysteria/config.yaml 1234567891011121314151617181920212223# listen: :443acme: domains: - 你的域名 email: 你的邮箱auth: type: password password: 你的密码masquerade: type: proxy proxy: url: 反代网站 rewriteHost: true listenHTTP: :80 listenHTTPS: :443 forceHTTPS: truetrafficStats: listen: :流量统计api端口 secret: 流量统计api密码请把上述配置模版里的中文更换成你的配置其中“反代网站”可以填www.bing.com等没被墙的站点，如...

Nginx日志显示访问者真实ip

在多层反代系统中，往往最底层的反代应用获取到的并非访问者的真实 ip ，而是上层反代应用的 ip 地址。所以 Nginx 日志中默认输出的是上层反代应用的 ip ，这非常不利于统计分析 Nginx 日志。想要让 Nginx 日志输出真实访问者的 ip ，需要有两个条件：条件1：配置上层反代在请求头中传递真实访问者 ip ，以 Nginx 实例 server { listen 80; server_name domain.com; location / { …… proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; …… } } 条件2：配置底层 Nginx 反代从请求头中获取真实访问者 ip http { …… # 指定允许信任的上游代理（...

接入腾讯EdgeOne CDN报告

2025/11/20编辑：宣布本文作废，现在Edgeone的海外节点在国内的范围体验还不如Cloudflare，现在换回cf了听群友说腾讯的EdgeOne CDN国际版已经开始公测了，而且还有免费的国际节点套餐，钱包空空的站长也是立马去嫖了一个免费版兑换码，并接入本站。本站EdgeOne CDN加速地址：https://www.12520.net/ 接入过程和其他cdn一样，动动手指就能接入 edgeone节点在国内访问的质量参差不齐，近期也有不少人开始对edgeone的ip节点进行优选，其中，edgeone貌似给了回源ip段，里面有不少ip是能直接使用的，也有不少ip报http代码418，具体需要自己携带host头发起http请求测试。（7月4日和7月6日使用itdog.cn的网站测速来对edgeone进行测试出现全红的情况，可能是edgeone有意屏蔽了来自itdog的测试节点ip） edgeone公开的回源ip段：https://api.edgeone.ai/ips 其中一个测试方法是使用curl指定域名解析ip测试 curl --resolve w...

Debian linux 搭建 iSCSI 服务端

1.安装iSCSI服务端程序 apt update apt install targetcli 2.配置iSCSI服务端的共享资源其中targetcli是管理iscsi的控制台，直接终端执行targetcli即可进入 targetcli ls cd /backstores/block 创建一个名为disk0的iSCSi共享磁盘 create disk0 /dev/md0 这里请把md0换成你想要共享的磁盘设备，比如sda，sdb等然后查看是否成功 cd / ls 这一步完成，可以先使用exit先退出targetcli控制台 exit 3.创建iSCSI target名称及配置共享资源再次进入targetcli控制台 targetcli cd /iscsi create 此时会输出几行字符，例如下图这是iSCSI Qualified Name（称为IQN），把这几行字符记录下来。 ls 这里输出了创建的iqn目录，例如进入图中以iqn开头的一个子目录 cd iqn.xxxx 然后继续进入子目录 cd tpg1 cd luns 创建一个iSCSI共享盘 create ...

免费使用域名建立邮箱，白嫖服务商的smtp服务器

因为halo的邮件通知器需要配置smtp服务器才能用，所以打算自己拿域名去建一个邮箱，并且去嫖厂商的smtp服务器。本文将配合站点自身域名（其他域名也行，需要有更改dns记录权限），使用zoho的smtp服务器搭建一个域名邮箱免费的smtp服务商：Zoho | Cloud Software Suite for Businesses 本教程仅编写重要部分，具体操作请需要自己跟着zoho的引导去配置。如果有问题可以在下方评论区留言。注册zoho账户可用谷歌，github等账户注册，微软的需要工作账户，个人账户不行注册地址：Zoho | Cloud Software Suite for Businesses 注意，弹出收费窗口时请选择免费计划，免费计划是国际版zoho，国内版没有，注意不要进错官网了。后面的操作跟着zoho的引导进行设置就行设置zoho账号密码使用zoho的smtp服务器需要设置账户的密码，如果不需要smtp服务器也可以不设置前往：https://accounts.zoho.com/home#security/security_pwd 如果账号...

NAT回环问题（内网设备无法通过公网ip访问自身服务）

众所周知，当一个tcp/ip服务使用nat映射出公网的时候，在同一内网的设备无法通过公网ip访问这个服务 whq12520于某天安装mcsm面板，使用nginx反代ssl的时候遇到这个问题，就打算浅浅研究一下举个例子，存在一个192.168.1.0/24的内网（192.168.1.xxx），NAT网关为192.168.1.1，网关对外公网ip为100.128.1.1的网络。其中，192.168.1.2(server1)使用80端口对外开放了一个http服务，网关同时设定了端口映射规则10.128.1.1:80->192.168.1.2:80。这个规则意味着所有目标地址为10.128.1.1:80的数据包在经过网关时，目标地址会被网关替换成192.168.1.2:80，源地址不变。一个正常的tcp握手请求如图所示这时，tcp握手数据包正常到达server1，然后server回应请求也会经过网关NAT地址转换，如图所示这时，tcp握手正常进行如果一个在内网的pc1访问10.128.1.1:80的http服务，就会遇到nat回环的问题，tcp...

评论

数据加载中