假设你在路由器上搭建透明代理，要将局域网发过来的 UDP 流量（不包括路由器本身发出的流量）转发到透明代理，你需要执行以下这些命令：

ip rule add fwmark 1 lookup 100
ip route add local default dev lo table 100
iptables -t mangle -I PREROUTING -p udp --dport 53 -j TPROXY --on-port 1090 --tproxy-mark 0x01/0x01
iptables -t mangle -I OUTPUT -p udp --dport 53 -j MARK --set-mark 1
# 透明代理端口为 1090，假设只转发 53 端口的 DNS 查询流量

如果你要转发的流量是 TCP，那你只需要执行一条命令就可以了：

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 1090
# 假设只转发 80 端口的流量

为什么转发 UDP 不能像转发 TCP 那样配置？

先来看一个问题。转发 TCP 时，REDIRECT 后包的目的地址已经变了，理论上来说，原目的地址已经丢了，透明代理是拿不到原目的地址的。那为什么透明代理能正确转发包呢？

实际上 netfilter 框架（iptables 也是基于这个框架暴露的勾子开发的）有 SO_ORIGINAL_DST 选项可以支持拿到原目的地址，netfilter 会将包的原目的地址放在 socket 的 SO_ORIGINAL_DST 属性里。

那么为什么 TCP 可以通过 SO_ORIGINAL_DST 拿到原目的地址，UDP 却不行？

原因跟 netfilter 的实现有关，SO_ORIGINAL_DST 是在 socket 上实现的，当 TCP 建立连接后，从对端的 socket 上就能拿到这个连接的原目的地址，实现成本很低。

int main() 
{ 
    int sockfd, connfd, len; 
    struct sockaddr_in servaddr, cli; 
  
    sockfd = socket(AF_INET, SOCK_STREAM, 0); 

    bzero(&servaddr, sizeof(servaddr)); 
  
    servaddr.sin_family = AF_INET; 
    servaddr.sin_addr.s_addr = htonl(INADDR_ANY); 
    servaddr.sin_port = htons(PORT); 
  
    bind(sockfd, (SA*)&servaddr, sizeof(servaddr));
  
    listen(sockfd, 5);

    len = sizeof(cli); 
    connfd = accept(sockfd, (SA*)&cli, &len); 
  
    // 从 connfd 就能拿到该连接的原目的地址
    // getsockopt(connfd, SOL_IP, SO_ORIGINAL_DST, destaddr, &socklen);
  
    close(sockfd); 
} 

而 UDP 不是面向连接的，无法从 socket 里去拿原目的地址：

int main() { 
    int sockfd; 
    char buffer[MAXLINE]; 
    char *hello = "Hello from server"; 
    struct sockaddr_in servaddr, cliaddr; 
    
    sockfd = socket(AF_INET, SOCK_DGRAM, 0);
      
    memset(&servaddr, 0, sizeof(servaddr)); 
    memset(&cliaddr, 0, sizeof(cliaddr)); 
    
    servaddr.sin_family    = AF_INET; // IPv4 
    servaddr.sin_addr.s_addr = INADDR_ANY; 
    servaddr.sin_port = htons(PORT); 
      
    bind(sockfd, (const struct sockaddr *)&servaddr,  sizeof(servaddr));
      
    int len, n; 
    n = recvfrom(sockfd, (char *)buffer, MAXLINE,  
                MSG_WAITALL, ( struct sockaddr *) &cliaddr, 
                &len); 
    buffer[n] = '\0'; 

    // 由于 UDP 不是面向连接的，编程模型中也就没有对端 socket 了
    // 那么非要实现，去拿原目的地址的话只能从 sockfd 去拿
    // getsockopt(sockfd, SOL_IP, SO_ORIGINAL_DST, destaddr, &socklen);
    // 但问题是从上面 recvfrom 的调用到这个调用之间可能会有新包进来，
    // 改变内部 socket 的状态，那这时调用 getsockopt，
    // 是无法知道哪个原目的地址才是当前处理包的目的地址的
  
    sendto(sockfd, (const char *)hello, strlen(hello),  
        MSG_CONFIRM, (const struct sockaddr *) &cliaddr, 
            len); 
    printf("Hello message sent.\n");  
      
    return 0; 
} 

上面就是 UDP 的透明代理转发不能用 REDIRECT 的原因。

再看看最开始的 TProxy 方案为什么可以。

ip rule add fwmark 1 lookup 100
ip route add local default dev lo table 100
iptables -t mangle -I PREROUTING -p udp --dport 53 -j TPROXY --on-port 1090 --tproxy-mark 0x01/0x01
iptables -t mangle -I OUTPUT -p udp --dport 53 -j MARK --set-mark 1
# 透明代理端口为 1090，假设只转发 53 端口的 DNS 查询流量

TProxy 可以不改变包的头，将包重定向到本地 socket，所以

iptables -t mangle -I PREROUTING -p udp --dport 53 -j TPROXY --on-port 1090 --tproxy-mark 0x01/0x01

这一句直接就将包原封不动地投递到本地 1090 的 udp socket 了，那么为何还要搞个 --tproxy-mark 0x01/0x01 的选项呢？

iptables flow

从数据包流向知道，PREROUTING 之后可能走 INPUT，也可能走 FORWARD，那到底走哪条，是由路由表决定的，因此，得有一条路由指示该包就是给本机的。

系统中初始就有两张路由表，一张 local (ID 255)，一张 main (ID 254)，可通过 ip route show table tableID 查看。这两张表都是按目的地址来路由的，如果照这两张表去走，这个包妥妥地就走 FORWARD 转发流程了，因为包的目的地址不是本机。

于是，就需要配置路由表，不能按目的地址来路由，所以配置按 mark 来路由：

ip rule add fwmark 1 lookup 100 # 对于 fwmark 为 1 的包，去 table 100 查找路由
ip route add local default dev lo table 100 # 添加一条默认路由，直接走 lo 出

这就是为什么 TProxy 要设置 mark 的原因，实际上不在 TProxy 设置 mark，单独在 TProxy 后面再加一个设置 mark 的 iptables 规则应该也是可以的。

由此，iptables 将包投给了本地透明代理进程。

但本地代理进程理论上来说应该是不接收的，因为不论是 TCP 还是 UDP，编程模型都需要 bind 本机地址（或者 0.0.0.0），不是给本机的包，进程不收。但 2.6.24 的内核出了个 IP_TRANSPARENT 的 socket 选项，打开这个选项，就可以接收任意目的地址的包了。

以上是局域网过来的包的重定向，那路由器本身出去的 UDP 要如何重定向到透明代理呢？

TProxy 只能在 PREROUTING 链上设置，不能在 OUTPUT 上设置，想想也是，如果能设在 OUTPUT 上，本来要出去的包又给塞回来，直接就死循环了。

这种情况，只能让包出去，再回来，回来的时候再通过 TProxy 规则重定向到透明代理。

那怎么让它从本网口出去又马上回到本网口来呢？还是走路由，在 OUTPUT 链给包打上 1 的mark，出去的时候就会查路由表，一查发现是给到 lo 口的，于是又回来了。

iptables -t mangle -I OUTPUT -p udp --dport 53 -j MARK --set-mark 1

当然，等到包从透明代理出去的时候，它的原目的地址和端口已经变了，不会再被 OUTPUT 链上的 mark 规则匹配到了，否则又会死循环的（所以这个规则配置要注意，配置不当，还是有死循环的可能的）。

参考资料：
https://blog.cloudflare.com/how-we-built-spectrum/
https://elixir.bootlin.com/linux/v4.16.1/source/net/netfilter/xt_TPROXY.c#L119
http://man7.org/linux/man-pages/man8/iptables-extensions.8.html
https://www.kernel.org/doc/Documentation/networking/tproxy.txt
https://linux.die.net/man/8/ip
http://man7.org/linux/man-pages/man7/ip.7.html
https://github.com/ahupowerdns/tproxydoc/blob/master/tproxy.md
https://www.digitalocean.com/community/tutorials/a-deep-dive-into-iptables-and-netfilter-architecture
http://lists.netfilter.org/pipermail/netfilter-devel/2001-February/000564.html