至于为什么 tun2socks 使用用户态协议栈 lwip，那是因为它把包发给 socks 服务器了，而不是传输修改了 header 的 tcp 和 udp 。jvm 上并不能修改包头并重新发送。如果能直接发的话，题目的要求（转发）将变得十分简单。
所以 jvm 要转发只有俩实现方案：
1. 本地起个 socks 服务器，tun2socks 转给 socks 服务器。socks 往外的连接要传给 android protect() 一下。
2. nat 实现。各自缓存一套 tcp 和 udp 的 natsession map 。收到来自 lan 的包，检查一下有没有 session，有的话直接取出来往 wan 传送 data 。没有的话建立一个 protect() wan 连接并存入 session map 。tcp 要处理握手和挥手，收到 lan 握手包建立外部连接，lan 挥手包关闭连接清除 session，如果是 wan 关闭连接则向 lan 发送挥手包。wan udp 连接设置个 timeout，超时自动关闭，关闭时清除 session 。

@CrazyBoyFeng 请问 Android 上面只能发 TCP 和 UDP 包么？那如果我实现一个基于 VPNService 的 Android VPN 应用，是不是除了 TCP 和 UDP 包的其他数据包会被截断呢？想问一下可以对 IP 包里面有没有可以自定义的标志位或信息字段呢，我想基于 IP 包里面自定义的标志位或信息字段来在 Android 上实现是否向 VPN 发数据的判断，类似于 PAC 那种想法。谢谢大佬！

@9ttttttt java 层无法建立除 tcp 和 udp 以外的通信。VPNService 可以收到 icmp 包，以字节数组的形式，但是无法在不 root 的情况下发出去，只能丢弃。
你的第二个问题，大概是想实现类似 iptables 这类的东西？ iptables 打标记的原理并不是修改数据包，而是建立数据表。而 java 层也不能改包，所以就不能发送自定义内容的数据包。

问题解决了吗？ 这个恐怕需要创建一张网卡来操作？

四年了，请问解决了吗？