Port/Protocol Level Rules #72

Mythologyli · 2025-03-18T05:02:08Z

由于部分服务端（主要为 7.6.6 以上）对流量的校验很严格 (#65 #70)，一旦进行了非法访问服务端会断开连接。ZJU 的服务端由于版本较老，暂未出现此问题，不过如果未来升级服务端版本也可能出现这种现象。

此 PR 添加了基于服务端下发资源的端口/协议级别的分流。主要修改有这几处：

解析服务端下发资源时精确到端口和协议。资源的格式如下：

<Rc app_path="" attr="0" auth_sp_id="0" authorization="1" enable_disguise="0" host="https://ieeexplore.ieee.org" id="274" name="ieeexplore" note="" port="0" proto="0" rc_grp_id="8" rc_logo="05_font_face_xe60d.png" selectid="-1" svc="WebApp:HTTPS" type="0"/>
<Rc app_path="" attr="0" auth_sp_id="0" authorization="1" enable_disguise="0" host="https://bb.xxx.edu.cn" id="281" name="bb.xxx.edu.cn" note="" port="443~443" proto="0" rc_grp_id="4" rc_logo="05_font_face_xe60d.png" selectid="-1" svc="HTTPS" type="1"/>
<Rc app_path="" attr="0" auth_sp_id="0" authorization="1" enable_disguise="0" host="219.x.x.x.;219.x.x.x" id="307" name="物业" note="" port="80~80;443~443" proto="0" rc_grp_id="6" rc_logo="05_font_face_xe60d.png" selectid="-1" svc="Other" type="2"/>

type 0 是类似 webvpn 的访问方法，暂未实现，目前只对 type 1（TCP 应用）和 type 2（L3VPN 应用）进行解析。每条资源中给出了 host（可能为单个 IP 地址，或 StartIP ~ EndIP，或域名，或 URL），端口号（StartPort ~ EndPort，如果只有一个端口也是此格式），协议类型（0 为 TCP，1 为 UDP，2 为 ICMP，-1 猜测为全部）。这里粗略地将资源分为 IP 资源和域名资源。

DNS 解析时，如果发现匹配到域名资源，则将资源的具体信息� 8000 �端口范围、协议类型）保存到上下文中（因为此时并不能获得请求的端口和类型，无法判断是否走 VPN）。在 DialIPPort 函数中结合上下文和端口、协议进行判断。

gVisor 栈未做修改，因为 gVisor 栈上的流量一定来自于 Dial 函数，已经进行了完善地分流。TUN 栈进行了修改：

func (s *Stack) processIPV4(packet zctcpip.IPv4Packet) error {
    protocol := ""
    port := -1
    switch packet.Protocol() {
    case zctcpip.TCP:
	    protocol = "tcp"
	    port = int(zctcpip.TCPPacket(packet.Payload()).DestinationPort())
    case zctcpip.UDP:
	    udpPacket := zctcpip.UDPPacket(packet.Payload())
	    if s.shouldHijackUDPDns(packet, udpPacket) {
		    newPacket := make(zctcpip.IPv4Packet, len(packet))
		    copy(newPacket, packet)
		    newUdpPacket := zctcpip.UDPPacket(newPacket.Payload())
		    // need to be non-blocking
		    go s.doHijackUDPDns(newPacket, newUdpPacket)
		    return nil
	    }

	    protocol = "udp"
	    port = int(zctcpip.UDPPacket(packet.Payload()).DestinationPort())
    case zctcpip.ICMP:
	    protocol = "icmp"
    default:
	    return fmt.Errorf("protocol %d not supported, skip", packet.Protocol())
    }

    for _, resource := range s.ipResources {
	    if bytes.Compare(packet.DestinationIP(), resource.IPMin) >= 0 && bytes.Compare(packet.DestinationIP(), resource.IPMax) <= 0 {
		    if resource.Protocol == protocol || resource.Protocol == "all" {
			    if protocol == "icmp" {
				    return s.processIPV4ICMP(packet, packet.Payload())
			    }

			    if resource.PortMin <= port && port <= resource.PortMax {
				    if protocol == "tcp" {
					    return s.processIPV4TCP(packet, packet.Payload())
				    } else {
					    return s.processIPV4UDP(packet, packet.Payload())
				    }
			    }
		    }
	    }
    }

    if port != -1 {
	    return fmt.Errorf("no VPN resources found for %s:%d, [%s], skip", packet.DestinationIP(), port, protocol)
    } else {
	    return fmt.Errorf("no VPN resources found for %s, [%s], skip", packet.DestinationIP(), protocol)
    }
}

此处将 DNS 劫持的逻辑前移，并添加了 IP、端口和协议的判断。一是因为路由规则不可能精确到端口和协议，高版本服务器即使只是访问了不能访问的端口也会断开连接。二是 TUN 上总有一些其他的流量（如 mDNS），无视路由，这部分流量也需要筛除。

为了更好适配其他服务端，删除了一些 ZJU 独有的硬编码的内容（如 TUN 改为了 /32 等等），这些内容通过 ZJUConfig 参数选择性添加。还请 @cxz66666 帮忙看看会不会破坏了 darwin 等系统上的 TUN 功能。

cxz66666 · 2025-03-18T05:10:23Z

晚点我去跑跑看 😃

cxz66666

darwin上在修改了一个AutoRoute变量设置后可以正常执行，功能性没问题

目前还有几个问题：

mac上dns劫持依赖写入/etc/resolver文件夹，大量规则写入会导致程序退出时删除文件缓慢
parseResources里面有一个抽象的ip:port 格式的host，已添加了一个额外parser
有点没懂Resolve中咋不用dnsResource再检查一遍了

cxz66666 · 2025-03-18T12:05:23Z

resolve/resolver.go

 	if cachedIP, found := r.getDNSCache(host); found {
 		log.Printf("%s -> %s", host, cachedIP.String())
 		return ctx, cachedIP, nil
 	}

-	if r.dnsResource != nil {


这里是为啥不用r.dnsResource继续查找下发的域名解析规则了

对于那些严格的服务端来说，dnsResource 里面有域名并不能代表就可以访问，最后还是要靠之前那些细化到端口和协议的规则来走。如果解析出的 ip 在对应的 ip 资源里，那最终在 dial 函数里还是可以被正确分流，所以感觉不是很有必要？

大多数情况下 dnsResource 里面的 ip 在前面的资源里都是有对应的规则的（因为原版客户端就是这样工作的，解析出对应的 ip，ip 已经在之前解析资源的时候写入系统路由表了，这样才会被 EasyConnect 正确处理）

事实上那种严格的服务端即使域名在域名资源里也未必就允许 (#70) ，感觉域名资源更多是用来在客户端 GUI 里给用户显示的，实际上最后就是解析成 ip，分流的时候按路由表，然后 EasyConnect 客户端再看看符不符合端口和协议。之前加的 skip-domain-resource 就是不处理域名资源，只按 ip 资源分流

也可以考虑加一个参数分为严格模式和宽松模式，严格模式就只按 ip 资源分流，宽松模式就用域名、ip、dns 中的全部信息分流

大多数情况下 dnsResource 里面的 ip 在前面的资源里都是有对应的规则的

原来如此，那确实没有啥加的必要。目前代码中dnsResource字段已经没啥用了，感觉可以加点相关的注释

大多数情况下 dnsResource 里面的 ip 在前面的资源里都是有对应的规则的

原来如此，那确实没有啥加的必要。目前代码中dnsResource字段已经没啥用了，感觉可以加点相关的注释

啊，犯傻了，dnsResource 还是有用的，要按这个解析 IP，只是不作为判断分流的依据，结果我把这个逻辑全删了

我加回来（

cxz66666 · 2025-03-18T12:13:16Z

stack/tun/stack_darwin.go

-		}
-		if err = s.AddDnsServer(s.endpoint.ip.String(), "cc98.org"); err != nil {
-			log.Printf("AddDnsServer failed: %v", err)
+		for domain := range domainResources {


在这里如果不使用硬编码AddDnsServer了的话，应该在程序initial_func_darwin里面检查删除一下所有之前添加的，暂时想到的方法是每个文件开头加一个 # Created By ZJU-Conenct 然后找这个

以及这里加的域名实在是有点多了，程序结束时删除就要删个10s左右，不知道怎么设计更好

以及这里加的域名实在是有点多了，程序结束时删除就要删个10s左右，不知道怎么设计更好

我倒是比较好奇 EasyConnect 的 Mac 客户端是怎么处理的，因为按照我对 Windows 客户端的观察 EasyConnect 干的事情是劫持 DNS，解析 ip，ip 提前按照资源写入系统路由表，靠路由表分流

如果 Mac 需要把要解析的资源加入 /etc/resolver/ 的话，那原版客户端是怎么实现的

之前是因为硬编码了domain所以发现通过创建/etc/resolver很方便，现在我看看networksetup -setdnsservers 和修改/etc/resolv.conf

现在使用networksetup -setdnsservers劫持了所有dns请求，目前已经可用了

cxz66666 · 2025-03-18T13:14:21Z

client/parse.go


-				log.DebugPrintf("Add IP: %s", hostStr)
+				if isDomain {


这里抓到一个非常奇怪的规则，被错误判定成domain了：
202.107.204.54:8080/cnipr/

暂时添加了一个额外parser

cxz66666 · 2025-03-19T08:09:21Z

看起来目前可以合了

feat: resource rule

1011691

Mythologyli requested a review from cxz66666 March 18, 2025 05:02

cxz66666 added 2 commits March 18, 2025 21:29

fix: disable AutoRoute on darwin

fbdbcbc

fix: add ip:port check in parseResources

ac9d13c

cxz66666 reviewed Mar 18, 2025

View reviewed changes

Mythologyli and others added 2 commits March 19, 2025 13:08

fix: dnsResource should be used first to resolve ip

ead9964

feat: use darwin networksetup for hijack dns server on Tun mode

40f6eb6

cxz66666 approved these changes Mar 19, 2025

View reviewed changes

Mythologyli merged commit a96eae3 into main Mar 19, 2025
37 checks passed

Mythologyli deleted the resource-rule branch March 19, 2025 08:15

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Uh oh!

Port/Protocol Level Rules #72

Port/Protocol Level Rules #72

Uh oh!

Uh oh!

Uh oh!

Uh oh!

Uh oh!

Uh oh!

Uh oh!

Uh oh!

Uh oh!

Uh oh!

Uh oh!

Uh oh!

Uh oh!

Uh oh!

Uh oh!

Uh oh!

Uh oh!

Uh oh!

Port/Protocol Level Rules #72

Port/Protocol Level Rules #72

Uh oh!

Conversation

Uh oh!

Uh oh!

Uh oh!

Choose a reason for hiding this comment

Uh oh!

Choose a reason for hiding this comment

Uh oh!

Choose a reason for hiding this comment

Uh oh!

Choose a reason for hiding this comment

Uh oh!

Choose a reason for hiding this comment

Uh oh!

Choose a reason for hiding this comment

Uh oh!

Choose a reason for hiding this comment

Uh oh!

Choose a reason for hiding this comment

Uh oh!

Choose a reason for hiding this comment

Uh oh!

Choose a reason for hiding this comment

Uh oh!

Choose a reason for hiding this comment

Uh oh!

Choose a reason for hiding this comment

Uh oh!

Uh oh!

Uh oh!

Uh oh!