使用Sing-box实现Linux旁路由透明代理的完整指南

前言

在现代网络环境中，透明代理作为一种无需客户端配置即可实现流量转发的技术方案，越来越受到技术爱好者和企业IT管理员的青睐。本文将详细介绍如何利用Sing-box这一新兴的网络工具，在Linux系统上搭建旁路由模式的透明代理解决方案。

什么是旁路由透明代理

旁路由透明代理是一种网络架构设计，它允许在不改变主路由器配置的情况下，通过旁路设备对所有网络流量进行代理处理。这种架构具有以下优势：

1. 部署灵活：不影响现有网络结构
2. 维护方便：可以独立升级或维护代理设备
3. 性能隔离：代理流量处理不会影响主路由器的性能

准备工作

在开始配置前，需要确保具备以下条件：

1. 一台运行Linux系统的设备（本文以Ubuntu为例）
2. 主路由器和旁路由位于同一局域网
3. 主路由器支持静态路由配置
4. 已安装最新版本的Sing-box

网络拓扑规划

典型的旁路由透明代理网络拓扑如下：

互联网
  │
  ↓
主路由器(192.168.1.1)
  │
  ├─ 客户端设备(192.168.1.x)
  └─ 旁路由(192.168.1.2,运行Sing-box)

详细配置步骤

1. 系统基础配置

首先需要在旁路由设备上启用IP转发功能：

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p

2. 主路由器设置

在主路由器上添加静态路由，将所有流量指向旁路由设备：

目标网络: 0.0.0.0
子网掩码: 0.0.0.0
网关: 192.168.1.2 (旁路由IP)

3. Sing-box配置文件

创建Sing-box的配置文件config.json，以下是一个透明代理的基本配置示例：

{
  "log": {
    "level": "info"
  },
  "dns": {
    "servers": [
      {
        "address": "8.8.8.8",
        "detour": "proxy"
      }
    ]
  },
  "inbounds": [
    {
      "type": "tun",
      "tag": "tun-in",
      "interface_name": "tun0",
      "mtu": 1500,
      "stack": "system",
      "inet4_address": "172.19.0.1/30",
      "auto_route": true,
      "strict_route": true
    }
  ],
  "outbounds": [
    {
      "type": "your_proxy_type",
      "tag": "proxy",
      "server": "your_proxy_server",
      "server_port": 443
    },
    {
      "type": "direct",
      "tag": "direct"
    }
  ],
  "route": {
    "rules": [
      {
        "inbound": ["tun-in"],
        "outbound": "proxy"
      }
    ]
  }
}

4. 防火墙规则配置

配置iptables规则实现NAT转发：

iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

5. 启动Sing-box服务

使用systemd管理Sing-box服务：

systemctl enable sing-box
systemctl start sing-box

常见问题排查

1. 客户端无法上网

检查步骤：

1. 确认旁路由IP转发已启用
2. 验证主路由静态路由配置正确
3. 检查Sing-box日志是否有错误

2. DNS解析失败

解决方案：

1. 确保DNS配置正确
2. 检查防火墙是否拦截了DNS请求
3. 测试直接使用旁路由DNS是否工作

3. 性能问题优化建议

1. 调整MTU值以获得最佳性能
2. 考虑使用硬件加速网卡
3. 优化Sing-box的路由规则

高级配置选项

1. 分流策略

可以通过配置路由规则实现智能分流：

"route": {
  "rules": [
    {
      "domain_suffix": [".google.com"],
      "outbound": "proxy"
    },
    {
      "geoip": ["cn"],
      "outbound": "direct"
    }
  ]
}

2. 多WAN负载均衡

结合策略路由实现多出口负载均衡：

ip route add default scope global nexthop via WAN1 dev eth0 weight 1 \
nexthop via WAN2 dev eth1 weight 1

3. 流量监控

使用nftables实现流量统计：

nft add table ip traffic
nft add chain ip traffic output { type filter hook output priority 0 \; }
nft add rule ip traffic output counter

安全注意事项

1. 定期更新Sing-box到最新版本
2. 限制管理接口的访问权限
3. 启用日志审计功能
4. 考虑使用安全防护工具防止未授权访问

结语

通过本文的详细指导，读者应该能够成功部署基于Sing-box的旁路由透明代理解决方案。这种架构不仅适用于家庭网络环境，也可以扩展应用于企业网络场景。随着对Sing-box的深入了解，还可以实现更复杂的网络功能，如QoS策略、深度包检测等高级特性。