Go语言实现透明TCP代理教程

本文深入剖析了在Go语言中实现透明TCP代理的核心难点与实战路径，揭示了setsockopt(IP_TRANSPARENT)报“operation not permitted”的真实根源——并非代码错误，而是权限缺失（需CAP_NET_RAW或root）与系统调用时序错位（必须在bind前设置）共同导致；文章指出标准库net.ListenTCP的封装会掩盖底层socket控制权，唯有借助golang.org/x/sys/unix手动创建socket、设透明标志、绑定并监听，才能突破限制；同时强调TPROXY与DNAT的本质差异在于保留原始目的地址，而真正让代理“透明”运转的关键还在于配套的iptables TPROXY规则、策略路由配置及通过SO_ORIGINAL_DST精准提取目标地址——这些极易被忽略的细节，恰恰是连接静默失败的元凶。

为什么 setsockopt(IP_TRANSPARENT) 总是返回 operation not permitted

根本原因不是代码写错了，而是 Linux 内核权限和 socket 创建时机没对上。透明代理必须在 bind 之前就设置 IP_TRANSPARENT，且进程需要 CAP_NET_RAW 或 root 权限。

• 普通用户即使加了 sudo，如果用 net.ListenTCP（它内部会自动 bind），就错过了设置选项的窗口期 —— 必须手动调用 socket()、setsockopt()、bind()、listen()
• Go 标准库不暴露底层 socket fd 操作，得用 syscall 或第三方包如 golang.org/x/sys/unix
• 内核需开启路由标记支持：echo 1 > /proc/sys/net/ipv4/ip_forward，且 iptables 要用 TPROXY 目标（不是 DNAT）

如何用 golang.org/x/sys/unix 正确创建透明 listener

绕过 net.Listen 的封装，自己构造 socket 并设置透明标志，这是唯一可靠路径。

• 先用 unix.Socket 创建 raw IPv4 TCP socket
• 立即调用 unix.SetsockoptInt 设置 IP_TRANSPARENT（值为 1）
• 再用 unix.Bind 绑定到 0.0.0.0:port 或特定地址；注意：不能 bind 到非本地 IP，否则失败
• 最后用 unix.Listen，再用 net.FileConn 把 fd 转成标准 net.Conn 接口
• 示例关键片段：

  fd, _ := unix.Socket(unix.AF_INET, unix.SOCK_STREAM, unix.IPPROTO_TCP, 0)
  unix.SetsockoptInt(fd, unix.IPPROTO_IP, unix.IP_TRANSPARENT, 1)
  sa := &unix.SockaddrInet4{Port: 8080}
  unix.Bind(fd, sa)
  unix.Listen(fd, 128)
  l, _ := net.FileListener(os.NewFile(uintptr(fd), ""))

iptables 规则里 TPROXY 和 DNAT 的本质区别

TPROXY 不改包的目的 IP，只把连接重定向到本地 socket，并保留原始目的地址 —— 这是透明代理能拿到真实目标的关键；DNAT 则直接覆盖 IP 头，应用层看到的就是被改过的地址。

• 必须配合策略路由（policy routing）：内核需要知道“这个包原本要发去哪”，才能把 reply 包正确回给客户端
• 典型规则：iptables -t mangle -A PREROUTING -p tcp --dport 80 -j TPROXY --tproxy-mark 0x1/0x1 --on-port 8080
• 同时要配路由表：ip rule add fwmark 0x1 table 100 + ip route add local 0.0.0.0/0 dev lo table 100
• 漏掉路由规则 → 代理能收请求，但 reply 包走默认路由，客户端收不到响应

为什么代理收到连接后，conn.RemoteAddr() 是客户端地址，但无法直接 dial 原始目标

因为 conn 是内核通过 TPROXY 送进来的，它的 RemoteAddr() 返回的是原始客户端地址，而真实目标地址藏在 socket 的 SO_ORIGINAL_DST 选项里 —— Go 不提供直接读取方式，必须用 syscall。

• 从 net.Conn 获取底层 fd：rawConn, _ := conn.(syscall.Conn).SyscallConn()
• 用 rawConn.Control 调用 unix.GetsockoptIPv6Sockaddr（IPv4 用 GetsockoptInet4Addr）读 SO_ORIGINAL_DST
• 注意：不同内核版本返回结构略有差异，IPv4 下通常要解析 struct sockaddr_in 中的 port 和 addr 字段
• 没读这个选项就硬 dial conn.RemoteAddr()，结果就是连到了客户端，而不是用户真正想访问的网站

今天关于《Go语言实现透明TCP代理教程》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！