Sing-box项目中TUN模式本地地址集配置问题分析

问题背景

在Sing-box项目1.11-beta19和beta20版本中，用户报告了一个关于TUN模式自动配置防火墙的问题。具体表现为当使用172.19.0.0/30网段作为TUN设备地址时，该网段未被正确识别为本地地址，导致流量被错误地识别为私有地址而直接路由。

技术细节分析

Sing-box的TUN模式实现中，会自动配置防火墙规则来区分本地流量和外部流量。在正常工作状态下，本地地址集(inet4_local_address_set)应该包含所有分配给TUN设备的IP地址范围。然而在问题版本中，系统未能正确地将用户配置的172.19.0.0/30网段加入本地地址集。

对比正常工作的beta17版本和存在问题的beta20版本，可以看到：

• 正常版本(beta17)的本地地址集包含：

  • 127.0.0.0/8 (本地回环)
  • 172.19.0.0/30 (用户配置的TUN地址)
  • 192.168.56.0/24 (其他本地地址)

• 问题版本(beta20)的本地地址集缺少了172.19.0.0/30网段，仅包含：

  • 127.0.0.0/8
  • 192.168.56.0/24

问题影响

这种配置缺失导致以下问题：

1. 从172.19.0.2到172.19.0.1的流量被错误识别为"私有地址"流量
2. 根据路由规则，这些流量被强制直连，而实际上它们应该由TUN设备处理
3. 影响了正常的网络隧道功能，导致特定网段内的通信异常

解决方案

项目维护者在后续的beta22版本中修复了这个问题。修复后的版本能够正确识别用户配置的所有TUN地址范围，并将其加入本地地址集，确保流量能够被正确处理。

技术建议

对于使用Sing-box TUN模式的用户，建议：

1. 定期检查防火墙规则，确认所有配置的TUN地址范围都被正确识别
2. 在升级版本时，特别注意网络功能的测试验证
3. 遇到类似问题时，可以通过检查nftables规则集来确认本地地址集的配置情况

这个问题展示了网络隧道实现中地址识别的重要性，特别是在自动配置防火墙规则时，必须确保所有相关地址范围都被正确处理，才能保证网络功能的完整性。