我理解的是 @Xusually 说的 旁路由 + SNAT 的问题 和 @futuregaget 说的问题是同样的。即和 SNAT 相关。

我的 WiFi 是在作为主路由的"光猫无线一体机"上，主路由是电信的 SDN 光猫，没有破解，所以不可能抓到 WIFI 原始流量。

我在旁路由（或者叫透明网关，Homelab ）上用 iptables 的 trace 功能，在 raw 表的 prerouting 链开始跟踪（这个位置早于 contrack status check ），发现没有来自设置好透明网关的手机的流量。也就是说，这个流量没有从主路由被转发到旁路由。所以也不会有数据包‘第二次’进入主路由的情况。合理推断，就是主路由直接丢掉了它收到的‘**D\_IP 是公网，但 D\_MAC 非主路由**’的无线数据包。

我的 Homelab 插在交换机上，我测过当另一台设备直插交换机上时，设置 homelab 为透明网关，是可以正常上网的（因为这个数据包没有像无线数据包一样，通过主路由器）

但我还没有测它是否会丢掉来自主路由__有线网口__的**D\_IP 是公网，但 D\_MAC 非主路由**的数据包。

@guazila 不能设置网关其实我还能稍微理解点，大不了我手动在客户端设置，但直接丢包真是太过分了

@Xusually 你可能把目标地址和路由下一跳搞混了。

"无线收到下一跳不是指向本设备的包的之后，也不转发，直接丢弃了。" ----- 在以上成立的前提下，我用手机连无线，下一跳指向内部 server ，也可以访问到 nas 里的数据。因为同一个局域网中，直接使用的是目标地址，下一跳不会被使用。

至于无线隔离，我还没用过这个功能，SDN 的 APP 上也没有这个设置。

@godall DMZ 的作用和我说的是不一样的
@kingsoT 有这个可能，但是在 SDN 那个 app 上没找到设置这个的选项。端口映射倒是能用。

我这 LS 的 Tokyo 没问题，上海电信

很喜欢，我也申请了 chatgpt 的 api ，还在想能做点什么

@fish3125 只修改 dns 就可以决定哪些机器不走代理，这个是什么原理，怎么做到的，愿闻其详

@LGA1150 清晰专业，大佬受我一拜！🙏

@IvanLi127 正常，一般 clash 的 yaml 规则里都会过滤局域网段的流量，局域网段的流量不会走到 clash 里

@dcty 可以让本机（跑 clash ）的机器不走代理的。 ------> 是需要设置 iptables 吗？
centos docker 跑个 clash 也可以的。 ---------> 用 bridge network ，留出来代理的端口，直接给局域网内其他设备连 http 、socks ，如果这个理解没错的话，我感觉这个就完美解决了我的需求

@Puteulanus 也是一个办法，但是不太适合我的 homelab ，不想换系统了
@rrfeng 如果 clash 这类工具可以只启动 http/socks 的话就好了。iptable+redir 加本地流量例外我觉得这个办法倒是不错，可以操作试试

@Dukewill 请问你用的光猫是什么型号，贝尔的 XE140W 吗？

@retanoj 毒药上找就好了，上榜的我过两三个，用起来都挺好。

看一下连接数是否正常，一千以内还好。我之前用 OC 的 fakeip 遇到过 bug ，连接数直接跑到好几千

@KoreaFish 你如果说的是 redirect 而不是 nat 的话，那透明网关确实会多一次 redirect ，但是这种转发效率很高，几乎不会影响到网络延迟。

@KoreaFish 光猫拨号也是一次 nat ，没有多一次转发，如 50 楼所言

@zyxk 是的，有这个功能，但楼上有人反应是假的端口映射，我还没实验，也有点怵