屏蔽 443 端口和屏蔽全部端口的差别可太大了。

@seers 听取了 29 楼的意见，采用了 tun 模式，单文件也没有什么依赖和散布在各地的文件，所以直接宿主机运行了。

@danshan 我目前用的 substore( https://hub.docker.com/r/xream/sub-store)来整合订阅的，在配合 clash 里的 filter 和 surge 里面的 policy-regex-filter 来提取出需要的节点，也很方便。

https://i.imgur.com/xzQJeDg.png

@journalist 看这个日志，应该是支持的吧。

经过大家一个号-> 经过大家指点以后

@julyclyde 我是之前不知道这个，经过大家一个号才知道，并没有掩盖问题 等我有空了再看一下 tun 的旁路由使用方式

@WhatTheBridgeSay 感谢指教。tun 目前我只在 mac 上用过，确实好用，linux 上还没有使用，按照你这种说法 tun 确实要更加好一些。

@julyclyde 我可能是第一点的那种人。。。我 server 上几乎没有直接部署的软件了，我 nginx 都用的 docker compose
因为讨厌在宿主机里安装各种软件可能会有版本冲突而且各种文件在犄角旮旯里很烦

@Bssn 如果群辉的 docker 能支持 macvlan 就能通过指定网关的方式进行旁路由。 通过 7890 端口共享 http/https/socks5 代理是都可以的。

@anubu #21 确实，我想起来了，我的透明网关中使用 iptables 劫持了 53 端口的流量转发到了 1053 也就是 clash dns 监听的端口。

可能是空气悬挂的原因？我同学就因为他妈妈做空气悬挂的 L7 晕车 所以没有买高配置的理想 L7.

我首先想到的是持久化问题，但是只要你不删除掉容器，即使宿主机掉电重启，容器也还是可以重新 start 数据依旧还在吧。所以持久化也不是问题？当然要避免误删，不然你安装的软件都没了。挂载目录啥的可以解决数据问题但是 apt 安装的软件还是不太好挂载吧。

@anubu 楼上回复了你的评论，没有艾特成功...

@anubu
>> 终端的 dns 指向透明网关就无法识别分析了，不指向透明网关就失去了 dns 分流作用，只能基于 IP 分流。
我的内网机器网关指向 docker clash 容器，dns 使用的公共 dns ，在 docker clash 容器中的日志显示的是 level=info msg="[TCP] 192.168.2.3:48962 --> www.google.com:80 match DomainSuffix(google.com) using 谷歌学术[xfss_🇭🇰 香港 IEPL 01 | x4]" 按照原理应该是只能基于 IP 分流但是日志显示域名分流我也还没清楚为啥。

>> 宿主级无法联通透明网关这个问题可以通过在宿主机创建一个 macvlan 解决。
https://blog.oddbit.com/post/2018-03-12-using-docker-macvlan-networks/#host-access 。

>> PT 下载问题，我目前还没玩过，应该可以通过规则来解决？要么是通过 clash 的规则要么是通过 iptables 的规则？

@fdghjk 这个我没有尝试过，我都是手动改的。还需要大家一起探索。

@fdghjk 按道理可以，我在配置文件里开启了 dns 同时也 iptables 转发了 dns 请求，你可以把 dns 也设置为这个 ip 试试，我觉得可以。

@Dk2014 我也是 all in boom 同时是 docker 的强烈爱好者

@mmr #5 完全没问题，不过需要稍微修改一下配置文件，在 proxy-provider 中添加多个订阅然后在后面的 proxygroup 中引用这些订阅。按照示例配置文件稍微修改下就可以。