换成nftables 了 好像比之前用iptables 快不少，等我再感觉感觉

[xtccc]

flush ruleset
include "/etc/nftables.conf.d/sstp_white.ips"
include "/etc/nftables.conf.d/sstp_black.ips"
include "/etc/nftables.conf.d/sstp_white6.ips"
include "/etc/nftables.conf.d/sstp_black6.ips"

add table inet mangle
table inet mangle{
    set sstp_white {
        type ipv4_addr
        flags interval
        elements = $sstp_white
    }
    set sstp_black {
        type ipv4_addr
        flags interval
        elements = $sstp_black
    }
    set sstp_white6 {
        type ipv6_addr
        flags interval
        elements = $sstp_white6
    }
    set sstp_black6 {
        type ipv6_addr
        flags interval
        elements = $sstp_black6
    }
	
        chain proxy {
                tcp dport { 80,443 }  meta mark set 0x2333 tproxy ip to 127.0.0.1:60080 counter accept comment "去代理"
	        udp dport { 80,443 }  meta mark set 0x2333 tproxy ip to 127.0.0.1:60080 counter accept comment "去代理"
                tcp dport { 80,443 }  meta mark set 0x2333 tproxy ip6 to [::1]:60080 counter accept comment "去代理"
	        udp dport { 80,443 }  meta mark set 0x2333 tproxy ip6 to [::1]:60080 counter accept comment "去代理"
		
        }
	
	chain prerouting  {
		# 刚刚到达但尚未被 nftables 的其他部分路由或处理的数据包。
		type filter hook prerouting priority filter; policy accept;	
		meta l4proto != { tcp, udp } counter accept

 		#好像达到连接管理了，再看看
		ct state {established} ct mark 0x2 counter jump proxy
		ct state {established} counter accept
		ct state {new,related} ip daddr ==  @sstp_white  ip daddr !=  @sstp_black counter accept;
		ct state {new,related} ct mark set 0x2 counter jump proxy
		drop;
	}
	
	chain output {
	      	# 从本地系统上的进程出站的数据包。
		type route hook output priority filter; policy accept;
		ct state {new,related,established} ip daddr ==  @sstp_white  ip daddr !=  @sstp_black counter accept;
		tcp dport { 80,443 } meta mark set 0x2333 counter accept comment "重路由"
		udp dport { 80,443 } meta mark set 0x2333 counter accept comment "重路由"
		}
}

table nat {
	chain postrouting {
	        # 就在离开系统之前的数据包
		type nat hook postrouting priority 100; policy accept;
		ct state {new,related} ct direction original   counter masquerade comment "路由器的snat dnat"
		}
}

define sstp_white =  {
45.121.68.0/22,
103.6.228.0/22,
202.38.48.0/20,
202.127.5.0/24,
103.46.72.0/22,
103.90.152.0/22,
103.138.134.0/23,
218.200.0.0/14,
103.35.24.0/22,

目前就是可以使用，但是sstp_white.ips可维护性不太行，回头研究下怎么比较方便的动态更新这个ips
想折腾的可以参考下。
另外我的dns 是自己写的dns ，上游使用 https://1.1.1.1/dns-query 和 https://223.5.5.5/dns-query 因此不需要做dns的重定向(dns监听udp 53)

顺便说一下，我使用systemd-networkd 当作dhcp server

cat /etc/systemd/network/10-lan.network                                                                                                                          [17:54:55]
[Match]
Name=lan

[Network]
DHCPServer=yes
Address=192.168.31.1/24
DNS=127.0.0.1

#通过 DHCPv6 协议或通过 DHCPv4 协议中的 6RD 选项在另一个链路上请求子网前缀
DHCPv6PrefixDelegation=yes 

#分发被委派的前缀 到子网
IPv6SendRA=yes 

[DHCPServer]
PoolOffset=100
PoolSize=100
EmitDNS=yes
DNS=192.168.31.1
EmitRouter=yes
Router=192.168.31.1

刚用一天 效果还行，有啥问题我继续更新

[xtccc]

nft 可以用get element 测试set中是否存在ip ，太好了 可维护性 上升

sudo nft get element inet mangle sstp_white {223.5.5.5}                           [18:34:04]
table inet mangle {
	set sstp_white {
		type ipv4_addr
		flags interval
		elements = { 223.4.0.0/14 }
	}
}

sudo nft get element inet mangle sstp_white {1.1.1.1}                             [18:34:08]
Error: Could not process rule: No such file or directory
get element inet mangle sstp_white {1.1.1.1}
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

[zfl9]

快不少？我觉得是错觉（欢迎用实测数据打我脸哈），目前 ss-tproxy 规则对于每个“连接”，实际上只会有一次 ipset 匹配（并记录到连接上），我认为这显著的提高了“大流量”连接的性能，因为 ipset 匹配次数减少了一个数量级。但你这个规则，每个 packet 都会经过 nftset 的匹配，我认为这是性能欠佳的。

[zfl9]

仔细看了一眼规则，我个人感觉这些 nft 功能，实际上都有与之对应（几乎完全等价）的 iptables 写法。

最大的不同我感觉是 nft 允许 v4 和 v6 规则放在一起（inet family），但我觉得这个对性能没有什么影响。

还有就是 nft 允许多个 action/statement，不过我觉得在透明代理中，这个用处似乎不是特别大，iptables 用 自定义chain 包一下也可以实现，性能上应该不存在明显的差距。

当然，欢迎实测数据打脸，这样我后面也有兴趣和动力去适配 nftables。目前 nftables 给我的最大感觉（或者说不同）也就是“语法与iptables不同”，其他的说实话，感觉就是在重复造轮子，往内核里面堆重复代码。。

[xtccc]

好的 ，我有空弄2个虚拟机对比下试试，也许是错觉 :)

[zfl9]

嗯，测试对比下这四种情况：

• 本机直连性能（本机/localhost、局域网主机、国内直连）
• 本机代理性能
• 局域网主机直连性能
• 局域网主机代理性能

我也想看看究竟 nftables 有没有什么不同哈。

如果再细分一下，还可以测试下：

• 短时间内发起大量连接
• 大流量连接（如下载测速）

ss-tproxy 主机 CPU 使用率，以及上述操作的耗时？

[cattyhouse]

这种测试很难做的, 不一定有适合的工具... 而且 speedtest 因为涉及对方服务器, 也是波动很大的...

[zfl9]

确实要准确测量比较难，因为这些测试都涉及公网，不稳定。

[xtccc]

简单测试了一下，代理都能跑1.3+Gbit/s 性能应该都没啥问题，回头再细测一下

使用的虚拟机 测试的，没有连接公网

[xtccc]