TonyBoney

@kob5213 远端服务器地址

@microka 问问别人吧，好多年没用过 openwrt 了

@microka 可以作用在跳过私有地址后作用到所有地址，但是这个风险比较高，我自己没测试过，可能把你锁在路由器外面，另外就是这个方法只能在你主动发起连接时起作用，别人连接你时无解，这个我也加到项目的 readme 里面了：
#!/usr/sbin/nft -f

#清空 nftables 规则，小心这一条
flush ruleset

table inet filter {
chain postrouting {
type filter hook postrouting priority 0 ; policy accept;
#跳过 IPv4 私有地址
ip daddr {100.64.0.0/10, 0.0.0.0/8, 10.0.0.0/8, 127.0.0.0/8, 169.254.0.0/16, 172.16.0.0/12, 192.0.0.0/24, 192.0.2.0/24, 192.88.99.0/24, 192.168.0.0/16, 198.18.0.0/15, 198.51.100.0/24, 203.0.113.0/24, 224.0.0.0/4, 240.0.0.0/4} return
#跳过 IPv6 私有地址
ip6 daddr {::, ::1, ::ffff:0:0:0/96, 64:ff9b::/96, 100::/64, 2001::/32, 2001:20::/28, 2001:db8::/32, 2002::/16, fc00::/7, fe80::/10, ff00::/8} return
#被标记的连接不再打标记
ct mark 0xDEA10103 return
#IPv4 ，其余所有地址，端口 0-65535 ，长度大于 120 的包，设置连接标记和包标记
ip protocol tcp tcp dport { 0-65535 } meta length gt 120 ct mark set 0xDEA10103 meta mark set 0xDEA10103 return
#IPv6 ，其余所有地址，端口 0-65535 ，长度大于 100 的包，设置连接标记和包标记
ip6 nexthdr tcp tcp dport { 0-65535 } meta length gt 100 ct mark set 0xDEA10103 meta mark set 0xDEA10103 return

}

}

之前写的 iptables/nftables 示例会给每个符合条件的包都发送一次伪装包，影响通信效率，以我 fork 版本的 mark 写个新例子，只在握手成功后发一次伪装包，iptables 太长发不出来，去项目主页看 https://github.com/kmb21y66/nf_deaf/

例如 0xDEA10103：错误的 TCP 校验和，为防止原始包抢先发出设置 jiffies 为 1 ，TTL 为 3 。

nftables 配置文件示例：

#!/usr/sbin/nft -f

#清空 nftables 规则，小心这一条
flush ruleset

table inet filter {
chain postrouting {
type filter hook postrouting priority 0 ; policy accept;
#被标记的连接不再打标记
ct mark 0xDEA10103 return
#IPv4 ，目的地址 1.1.1.1 ，TCP 端口 0-65535 ，长度大于 120 的包，设置连接标记和包标记后发出
ip daddr {1.1.1.1} tcp dport { 0-65535 } meta length gt 120 ct mark set 0xDEA10103 meta mark set 0xDEA10103 return
#IPv6 ，目的地址 2606:4700:4700::1111 ，TCP 端口 0-65535 ，长度大于 100 的包，设置连接标记和包标记后发出
ip6 daddr {2606:4700:4700::1111} tcp dport { 0-65535 } meta length gt 100 ct mark set 0xDEA10103 meta mark set 0xDEA10103 return
}
}

之前写的 iptables/nftables 示例会给每个符合条件的包都发送一次伪装包，会影响通信效率，以我 fork 版本的 mark 写个新例子，mark 视运营商情况自行随意组合，例如设置 TTL 为 3 ，错误的 TCP 校验和，只在握手成功后发一次伪装包，为防止原始包抢先发出设置 jiffies 为 1 ，mark 是 0xDEA10103

1. iptables 太长发不出来，去项目主页看 https://github.com/kmb21y66/nf_deaf/

2. nftables 配置文件示例：

#!/usr/sbin/nft -f

#清空 nftables 规则，小心这一条
flush ruleset

table inet filter {
chain postrouting {
type filter hook postrouting priority 0 ; policy accept;
#被标记的连接不再打标记
ct mark 0xDEA10103 return
#IPv4 ，目的地址 1.1.1.1 ，TCP 端口 0-65535 ，长度大于 120 的包，设置连接标记和包标记后发出
ip daddr {1.1.1.1} tcp dport { 0-65535 } meta length gt 120 ct mark set 0xDEA10103 meta mark set 0xDEA10103 return
#IPv6 ，目的地址 2606:4700:4700::1111 ，TCP 端口 0-65535 ，长度大于 100 的包，设置连接标记和包标记后发出
ip6 daddr {2606:4700:4700::1111} tcp dport { 0-65535 } meta length gt 100 ct mark set 0xDEA10103 meta mark set 0xDEA10103 return
}
}

@microka 那里的 IP 填的是你使用的目的服务器地址

@q0000x 看项目主页我写的教程，肯定也是要添加 nftables

Fork 了一份 https://github.com/kmb21y66/nf_deaf
修改如下：
1. 删除 TCP Option 里的魔数 0x1312 ，避免检测，改为复制原数据包的 TCP Option ，同时避免了 TimeStamp 缺失问题。
2. 补全 TCP 头缺失的接收窗口。
3. 把 mark 左移三位，原来只能设置 0-31 的 TTL ，现在能设为正常的 0-255 。
4. 填好了测速的 payload ，不用自己改文件了。
这样一来只修改 TTL 的包至少 wireshark 看顺眼了，不会标黑了

Fork 了一份 https://github.com/kmb21y66/nf_deaf
修改如下：
1. 删除 TCP Option 里的魔数 0x1312 ，避免检测，改为复制原数据包的 TCP Option ，同时避免了 TimeStamp 缺失问题。
2. 补全 TCP 头缺失的接收窗口。
3. 把 mark 左移三位，原来只能设置 0-31 的 TTL ，现在能设为正常的 0-255 。
4. 填好了测速的 payload ，不用自己改文件了。
这样一来修改的包至少 wireshark 看顺眼了，不会标黑了