配置特定内网ip的iot设备使用梅林固件Asus路由访问ss服务器

Transparent Proxy Setup (Shadowsocks on Asus Router)

配置特定内网ip的iot设备使用梅林固件Asus路由访问ss服务器

本文使用chatgpt生成.

✅ Goals

  • Redirect TCP and UDP traffic from a specific IoT device to Shadowsocks (ss-redir) on port 1080
  • Ensure DNS resolution works through the proxy

1. Setup ss-redir on Router 设置 Shadowsocks 客户端

  • Install via Entware 安装 Shadowsocks 重定向客户端:

    1
    opkg install shadowsocks-libev-ss-redir

  • Launch ss-redir with UDP enabled and verbose logging 启动 ss-redir,启用 UDP 支持并开启详细日志:

    1
    ss-redir -c /opt/etc/shadowsocks.json -u -vv

  • Example config (/opt/etc/shadowsocks.json) 配置文件示例:

    1
    2
    3
    4
    5
    6
    7
    8
    {
      "server": "your.ss.server.com",  // Shadowsocks 服务端地址
      "server_port": 8388,              // 服务端端口
      "local_port": 1080,               // 本地监听端口(iptables 将转发到此端口)
      "password": "yourpass",          // Shadowsocks 密码
      "method": "chacha20-ietf-poly1305",  // 加密方式
      "mode": "tcp_and_udp"            // 同时支持 TCP 和 UDP
    }

如果想要后台运行可以尝试使用-f指定process pid.

2. TCP Redirection via iptables 设置 TCP 转发

1
iptables -t nat -A PREROUTING -p tcp -s <DEVICE_IP> -j REDIRECT --to-ports 1080

📌 说明:将来自 <DEVICE_IP> 的所有 TCP 流量重定向到本地 1080 端口。

3. UDP Redirection with TPROXY 设置 UDP 转发(使用 TPROXY)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
# 启用内核 IP 转发
# Enable IP forwarding

echo 1 > /proc/sys/net/ipv4/ip_forward

# 添加策略路由规则
# Setup routing rules

ip rule add fwmark 1 lookup 100
ip route add local 0.0.0.0/0 dev lo table 100

# 配置 mangle 表和 TPROXY
# Setup mangle table and TPROXY

iptables -t mangle -N SS_UDP                                  # 创建自定义链
iptables -t mangle -A SS_UDP -d 127.0.0.0/8 -j RETURN         # 忽略本地地址(optional)
iptables -t mangle -A SS_UDP -d 224.0.0.0/4 -j RETURN         # 忽略多播地址(optional)
iptables -t mangle -A SS_UDP -p udp -s <DEVICE_IP> -j MARK --set-mark 1   # 为目标设备 UDP 流量打标记
iptables -t mangle -A SS_UDP -p udp -s <DEVICE_IP> -j TPROXY --on-port 1080 --tproxy-mark 0x01/0x01  # 转发到 1080
iptables -t mangle -A PREROUTING -j SS_UDP                    # 应用规则链

4. Diagnostics and Tools 排查工具

  • 抓包查看流量是否到达本地 1080 端口:

    1
    2
    tcpdump -i lo udp port 1080 -nn -vv
    tcpdump -i br0 udp and src host <DEVICE_IP> -nn -vv

  • 查看 iptables 规则是否命中:

    1
    2
    iptables -t nat -L PREROUTING -v -n
    iptables -t mangle -L PREROUTING -v -n

  • 查看策略路由是否生效:

    1
    2
    ip rule show
    ip route show table 100

6. ss-server UDP Support Fix 解决服务端未开启 UDP 问题

如果 ss-server 没有使用 -u 参数启动,则不会监听 UDP,导致客户端转发失败。

✅ 解决办法:

  • 启动 ss-server 并启用 UDP 支持:
    1
    ss-server -c ./ss.config -u -vv
  • 检查服务端是否监听 UDP:
    1
    sudo netstat -ulnp | grep ss-server
  • 开启服务端防火墙 UDP 端口(如 8388):
    1
    sudo iptables -A INPUT -p udp --dport 8388 -j ACCEPT

Notes 附注

IoT 设备会同时请求本地网关和公共 DNS(如 8.8.8.8)要实现 DNS 劫持或本地缓存,需确保 DHCP 分配路由器作为 DNS TPROXY 配置成功后,
可在 ss-redir 日志中看到 UDP 请求(cache hit/miss)ss-server 添加 -u 后问题解决,UDP 转发成功.

需要在ss-redir ss-server的log中都成功看到转发信息.

替换 <DEVICE_IP> 和实际域名/IP 为你的具体配置。已屏蔽所有品牌信息。

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true