我也来分享下用了多年的软路由终极方案

有联通 9929 的用户表示，很多国外地址还是直连的快。

我选择的是最简单的 ATV 作为旁路由网关，主路由 ROS 针对设备 mac 地址单独分配到旁路由网关，这样不影响家人和其他物联网设备。

@xyzmax #19 这才是终极方案， 只有吃过亏的才懂。

ros 用 cnip 分流，非大陆 ip 走 openwrt ，openwrt 跑 xray 透明代理； debian 使用 mosdns 解析域名（请求域名解析时，代理列表内用国外 dns ，直连列表内用国内 dns ，未知的先请求国内 dns ，返回非 cnip 则使用国外 dns ）。然后用 crontab 每周更新配置文件。

第二点 DNS 污染怎么办

我 5 台 mikrotik 的设备，无论什么方法维护都麻烦，所以我更倾向策略路由，加上很多用爱发电的软件持久性无法保障，我开始学习 bird2 ，通过收取 bgp 后反射给 ros 进行分流，域名规则不是很多，平时也很少维护了。

@Jirajine #9
同意，这一点是个 concern ，受害者说法有点夸张，对于黑白名单以外的未知域名，现在形势应该还没坏到那种地步。
我个人不推荐这种方式的原因，还是国内 DNS 可能返回污染后的国内 IP ，这种情况下是没办法分辨出来的。

当然前面有人提到的反诈上门问题，这个应该还是基于现在各种运营商的 SDN 网关/云宽带模式做的。自己走桥街拨号绕过运营商终端网关上的一堆“安全插件”就没什么问题。

@wawaguo #20
全部流量都走软路由的透明代理模式，或多或少会有一点影响。
而且部分游戏会有奇奇怪怪的连接问题（取决于代理软件的 NAT 行为）
可以参考 dae 的 issue 区反馈，虽然 dae 是 fullClone NAT ，但确实还是有一些反馈问题的。

@terrancesiu
使用 ROS 的用户可以参考下我前两天发布的旁路动态路由方案：DNS 嗅探+ROS 路由表分流，旁路拓扑完全可插拔。所有旁路配置集中管理。

也许肉身翻墙才是终极归宿

我还是喜欢规则模式，clash/passwall 规则更新太麻烦，换了 x86 虚拟机黑苹果跑 Surge ，一切都舒服了

全篇如说。也不知道写这一段是干嘛。

@xyzmax 赞同~太多弯弯绕绕的我也搞不懂。adh 我也删了，没感觉出来他有什么用途。

@frankilla #32 dns 缓存和拦截广告

能用个 apple tv 解决的事弄的这么复杂。。。

缺少 redsocks 和 haproxy 做高可用 , 差评

"反之用国外 dns 的解析结果走代理"，配置的哪个国外 dns ，国内能直连？

@xyzmax #19 老哥 请问有没有简略教程?

啊，我就在 N1 装 openwrt ，不也一样能 10w ，这个主要看线路，设备和软件基本不是瓶颈

@povsister 能双栈吗

📖 一句话总结：
> 通过使用 Debian 作为软路由，结合 iptables 、gfwlist 、mosdns 、ipset 和支持 REDIRECT 的代理工具，可以实现高级的网络流量管理和优化。

🔑 关键要点：
1. Debian 系统可以作为软路由使用，通过最小化安装和适当的配置，可以变身为功能强大的路由器。
2. iptables 用于设置防火墙规则和网络地址转换（ NAT ），是软路由配置中不可或缺的部分。
3. gfwlist 可以用于阻止访问特定的网站，通过 iptables 规则来实现。
4. mosdns 结合 ipset 能够基于域名进行智能路由，提高网络流量的处理效率。
5. 支持 REDIRECT 的代理工具和 TPROXY 模块可以处理包括 UDP 在内的网络流量，实现透明代理。

🔑 关键评论：
1. 使用 Debian 作为软路由提供了高度的可定制性和稳定性。
2. iptables 的复杂性要求用户具备一定的网络知识，以正确配置防火墙规则。
3. gfwlist 的更新和维护需要一定的注意，以确保规则的有效性。
4. mosdns 的智能 DNS 解析可以显著提升域名解析的速度和准确性。
5. TPROXY 对于处理 UDP 流量特别有用，尤其是在需要代理的网络环境中。

🏷 标签: #软路由 #Debian #iptables #gfwlist #mosdns\n🔒 #网络安全 #网络优化 #透明代理