换成nftables 了好像比之前用iptables 快不少，等我再感觉感觉 #271

xtccc · 2024-05-22T09:56:56Z

xtccc
May 22, 2024

flush ruleset
include "/etc/nftables.conf.d/sstp_white.ips"
include "/etc/nftables.conf.d/sstp_black.ips"
include "/etc/nftables.conf.d/sstp_white6.ips"
include "/etc/nftables.conf.d/sstp_black6.ips"

add table inet mangle
table inet mangle{
    set sstp_white {
        type ipv4_addr
        flags interval
        elements = $sstp_white
    }
    set sstp_black {
        type ipv4_addr
        flags interval
        elements = $sstp_black
    }
    set sstp_white6 {
        type ipv6_addr
        flags interval
        elements = $sstp_white6
    }
    set sstp_black6 {
        type ipv6_addr
        flags interval
        elements = $sstp_black6
    }
	
        chain proxy {
                tcp dport { 80,443 }  meta mark set 0x2333 tproxy ip to 127.0.0.1:60080 counter accept comment "去代理"
	        udp dport { 80,443 }  meta mark set 0x2333 tproxy ip to 127.0.0.1:60080 counter accept comment "去代理"
                tcp dport { 80,443 }  meta mark set 0x2333 tproxy ip6 to [::1]:60080 counter accept comment "去代理"
	        udp dport { 80,443 }  meta mark set 0x2333 tproxy ip6 to [::1]:60080 counter accept comment "去代理"
		
        }
	
	chain prerouting  {
		# 刚刚到达但尚未被 nftables 的其他部分路由或处理的数据包。
		type filter hook prerouting priority filter; policy accept;	
		meta l4proto != { tcp, udp } counter accept

 		#好像达到连接管理了，再看看
		ct state {established} ct mark 0x2 counter jump proxy
		ct state {established} counter accept
		ct state {new,related} ip daddr ==  @sstp_white  ip daddr !=  @sstp_black counter accept;
		ct state {new,related} ct mark set 0x2 counter jump proxy
		drop;
	}
	
	chain output {
	      	# 从本地系统上的进程出站的数据包。
		type route hook output priority filter; policy accept;
		ct state {new,related,established} ip daddr ==  @sstp_white  ip daddr !=  @sstp_black counter accept;
		tcp dport { 80,443 } meta mark set 0x2333 counter accept comment "重路由"
		udp dport { 80,443 } meta mark set 0x2333 counter accept comment "重路由"
		}
}

table nat {
	chain postrouting {
	        # 就在离开系统之前的数据包
		type nat hook postrouting priority 100; policy accept;
		ct state {new,related} ct direction original   counter masquerade comment "路由器的snat dnat"
		}
}

define sstp_white =  {
45.121.68.0/22,
103.6.228.0/22,
202.38.48.0/20,
202.127.5.0/24,
103.46.72.0/22,
103.90.152.0/22,
103.138.134.0/23,
218.200.0.0/14,
103.35.24.0/22,

目前就是可以使用，但是sstp_white.ips可维护性不太行，回头研究下怎么比较方便的动态更新这个ips
想折腾的可以参考下。
另外我的dns 是自己写的dns ，上游使用 https://1.1.1.1/dns-query 和 https://223.5.5.5/dns-query 因此不需要做dns的重定向(dns监听udp 53)

顺便说一下，我使用systemd-networkd 当作dhcp server

cat /etc/systemd/network/10-lan.network                                                                                                                          [17:54:55]
[Match]
Name=lan

[Network]
DHCPServer=yes
Address=192.168.31.1/24
DNS=127.0.0.1

#通过 DHCPv6 协议或通过 DHCPv4 协议中的 6RD 选项在另一个链路上请求子网前缀
DHCPv6PrefixDelegation=yes 

#分发被委派的前缀 到子网
IPv6SendRA=yes 

[DHCPServer]
PoolOffset=100
PoolSize=100
EmitDNS=yes
DNS=192.168.31.1
EmitRouter=yes
Router=192.168.31.1

刚用一天效果还行，有啥问题我继续更新

xtccc · 2024-05-22T10:35:49Z

xtccc
May 22, 2024
Author

nft 可以用get element 测试set中是否存在ip ，太好了可维护性上升

sudo nft get element inet mangle sstp_white {223.5.5.5}                           [18:34:04]
table inet mangle {
	set sstp_white {
		type ipv4_addr
		flags interval
		elements = { 223.4.0.0/14 }
	}
}

sudo nft get element inet mangle sstp_white {1.1.1.1}                             [18:34:08]
Error: Could not process rule: No such file or directory
get element inet mangle sstp_white {1.1.1.1}
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

0 replies

zfl9 · 2024-05-22T13:54:31Z

zfl9
May 22, 2024
Maintainer

快不少？我觉得是错觉（欢迎用实测数据打我脸哈），目前 ss-tproxy 规则对于每个“连接”，实际上只会有一次 ipset 匹配（并记录到连接上），我认为这显著的提高了“大流量”连接的性能，因为 ipset 匹配次数减少了一个数量级。但你这个规则，每个 packet 都会经过 nftset 的匹配，我认为这是性能欠佳的。

5 replies

zfl9 May 22, 2024
Maintainer

仔细看了一眼规则，我个人感觉这些 nft 功能，实际上都有与之对应（几乎完全等价）的 iptables 写法。

最大的不同我感觉是 nft 允许 v4 和 v6 规则放在一起（inet family），但我觉得这个对性能没有什么影响。

还有就是 nft 允许多个 action/statement，不过我觉得在透明代理中，这个用处似乎不是特别大，iptables 用自定义chain 包一下也可以实现，性能上应该不存在明显的差距。

当然，欢迎实测数据打脸，这样我后面也有兴趣和动力去适配 nftables。目前 nftables 给我的最大感觉（或者说不同）也就是“语法与iptables不同”，其他的说实话，感觉就是在重复造轮子，往内核里面堆重复代码。。

xtccc May 23, 2024
Author

好的，我有空弄2个虚拟机对比下试试，也许是错觉 :)

zfl9 May 23, 2024
Maintainer

嗯，测试对比下这四种情况：

本机直连性能（本机/localhost、局域网主机、国内直连）
本机代理性能
局域网主机直连性能
局域网主机代理性能

我也想看看究竟 nftables 有没有什么不同哈。

如果再细分一下，还可以测试下：

短时间内发起大量连接
大流量连接（如下载测速）

ss-tproxy 主机 CPU 使用率，以及上述操作的耗时？

cattyhouse May 23, 2024

这种测试很难做的, 不一定有适合的工具... 而且 speedtest 因为涉及对方服务器, 也是波动很大的...

zfl9 May 23, 2024
Maintainer

确实要准确测量比较难，因为这些测试都涉及公网，不稳定。

xtccc · 2024-05-24T19:37:41Z

xtccc
May 24, 2024
Author

简单测试了一下，代理都能跑1.3+Gbit/s 性能应该都没啥问题，回头再细测一下

使用的虚拟机测试的，没有连接公网

1 reply

换成nftables 了 好像比之前用iptables 快不少，等我再感觉感觉 #271

Uh oh!

Uh oh!

xtccc May 22, 2024

Replies: 3 comments · 6 replies

Uh oh!

xtccc May 22, 2024 Author

Uh oh!

zfl9 May 22, 2024 Maintainer

Uh oh!

zfl9 May 22, 2024 Maintainer

Uh oh!

xtccc May 23, 2024 Author

Uh oh!

zfl9 May 23, 2024 Maintainer

Uh oh!

cattyhouse May 23, 2024

Uh oh!

zfl9 May 23, 2024 Maintainer

Uh oh!

xtccc May 24, 2024 Author

Uh oh!

xtccc May 24, 2024 Author

换成nftables 了好像比之前用iptables 快不少，等我再感觉感觉 #271

xtccc
May 22, 2024

Replies: 3 comments 6 replies

xtccc
May 22, 2024
Author

zfl9
May 22, 2024
Maintainer

zfl9 May 22, 2024
Maintainer

xtccc May 23, 2024
Author

zfl9 May 23, 2024
Maintainer

zfl9 May 23, 2024
Maintainer

xtccc
May 24, 2024
Author

xtccc May 24, 2024
Author