openwrt+openvpn 客户端+squid，感觉一句话问不完感兴趣的还是戳进来吧（

iptables -m owner 可以指定哪个程序

ss+polipo可以很简单的满足你的需求

首先用iptables把squid对外的流量打上标记：
iptables -t mangle -A OUTPUT ! -d $YOUR_LAN -o lo -m owner --uid-owner $SQUID_UID -j MARK --set-mark 1

然后在/etc/iproute2/rt_tables 里加一行：
201 vpn.out

再用ip命令指定打上标记的流量加入vpn.out的路由表:
ip rule add fwmark 0x1 table vpn.out

最后指定vpn.out路由表的流量通过vpn:
ip route add default via $VPN_GATEWAY_IP dev $VPN_IF table vpn.out

楼主可能还需要在squid配置文件里指定dns_nameservers，不然的话dns还是通过本地查询。

对不支持http代理的客户端，如果碰巧支持SOCKS5代理的话，可以试用这个[内置DNS解析器的SOCKS5代理](https://github.com/infinet/blacksocks)。

另外，为什么不用dnsmasq的ipset和server功能？简直就是完全透明地分流。如果担心需要指定的域名太多影响速度，恭喜楼主，为维护世界和平，兄弟小改了一下[dnsmasq](https://github.com/infinet/dnsmasq)，现在不论加载几千几万条ipset和server项都同样快如闪电。

@infinet 啊感谢，毕竟初学，问一下在指定路由表那里，$VPN_IF的参数指代的是什么？
另外其实我有ss，要是支持socks5我就直接走ss了，所以我也不用透明分流，这个东西弄起来是给3ds和psv做代理服务器使得

@lxdlam VPN虚拟网卡，一般来说是tun0