- 生成dnsmasq用的配置文件
写一个脚本,内容如下
#/bin/sh
export HTTPS_PROXY=172.29.0.24:3128
data_dir=/jffs/configs
python3 -m genpac --format=dnsmasq --user-rule-from={data_dir}/user-rule.txt -o{data_dir}/gfwlist.conf --dnsmasq-dns="172.29.0.1#5354"
export HTTPS_PROXY=
需要在172.29.0.1(镜外主机)上部署一个dns服务器,并且禁用ipv6解析(因为vpn设备ipv6比较麻烦)
– 部署dns服务器
编写/etc/coredns/Corefile文件
.:5354 {
errors
log
template IN AAAA .
forward . 127.0.0.1
}
启动dns
/usr/local/bin/coredns -conf=/etc/coredns/Corefile
– 配置dnsmasq
/jfss/configs/dnsmasq.conf.add中添加一行
“`conf-file=/jffs/configs/gfwlist.conf“`
service restart_dnsmasq
– 配置iptables
ipset create GFWLIST hash:ip
iptables -t mangle -A PREROUTING -m set –match-set GFWLIST dst -j MARK –set-mark 100
iptables -t mangle -A OUTPUT -m set –match-set GFWLIST dst -j MARK –set-mark 100
– 配置wireguard路由
在/jffs/scripts/wgclient-start中添加以下内容
#!/bin/sh
dev_name=wgc{1}
ip route add default devdev_name table 1
ip route add 10.12.0.1/32 dev dev_name
ip route add 172.29.0.0/24 devdev_name
ip rule add fwmark 100 table 1
- 关闭rp_filter
不做这一步策略路由不生效
在/jffs/scripts/firewall-start 中添加
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 0 > $i
done
fi
以上完。
关于wireguard部分后面有空再说