CLASH FOR ANDROID#

以最常见的Clash for Android为例，他通常通过调用Android系统提供的VPN Service API工作。

当您在CFA（Clash For Android）中启动代理时，应用会向系统申请创建一个虚拟VPN接口，此时会要求用户授权。随后Android会将设备上几乎所有应用程序的流量都重定向到此接口。

CFA本质上其实是个壳，用于更方便与用户交互，本质其实是Clash核心在处理流量。

Clash内核会根据您配置的规则来检查所有经过的流量，根据规则匹配结果，决定该流量走向。

BOX4MAGISK#

box4magisk借助magisk/kernelSU/APatch将clash部署在data/adb/，使其深度集成在Android系统的网络栈，实现了更高权限的流量接管。

由于他不依赖VPN Service API，因此完全不占用VPN槽位，通过透明代理，使其能绕过大多数检测。

TRANSPARENT PROXY#

Transparent Proxy，也就是透明代理。简单来讲，就是让应用程序无法检测其存在，让应用认为他在直接连接互联网。其劫持实现主要如下

TUN#

TUN设备是软件实现的虚拟网络设备。他不像eth0或wlan0那样是真实的硬件。他就像一个虚拟的网线接口，一端插在系统的网络栈，一端插在Clash核心。

其工作原理主要为：

系统根据iptables规则，把所有需要被代理的网络流量发送到TUN设备。Clash内核则从另一端读取这些原始数据包进行处理，随后经过TUN回到系统内核，并出口到目的地。

TUN设备在网络层工作，处理IP数据包使其能够接管所有基于IP的流量。

TUN2SOCKS#

众所周知，Clash一般监听在SOCKS5/HTTP端口，守听的是预期符合代理协议的数据。但TUN里给出的数据则是原始网络数据包，压根不是一回事。

而TUN2SOCKS作为其中的桥梁，达到了翻译的效果。他负责读取TUN来的原始数据包，以客户端身份将其打包为标准的SOCKS5协议格式，并将其发送给Clash内核，这样Clash就可以正常处理这些流量了。

• 对于Clash来说，它只是为叫做tun2socks的本地客户的提供代理服务，并不知道其接管的流量来自系统全局。
• 对于应用程序来说，它以为自己是直接连接到互联网，并不知道自己的流量被TUN劫持并转译。

IPTABLES#

系统流量默认可不会自己跑进TUN，在Box4magisk中，使用到了iptables让流量走向TUN。

我们先来了解下iptables，这是Linux系统内置的数据包过滤和操作工具，不过在这里，他的核心作用不是防火墙，而是对流量进行路由。

Box4magisk在启动时，会添加一系列规则达到REDIRECT或TProxy到TUN设备的目的。

接下来我们会举一个例子，来更好理解他们协同工作时的流量走向#

1. app试图连接blog.chongxi.us:443
2. iptables立即截获此TCP请求，根据规则，将流量引至TUN设备
3. TUN会将流量引至tun0
4. tun2socks会从tun0中读取到这个原始TCP请求，并将其打包为SOCKS5协议的CONNET blog.chongxo.us 443发给localhost的Clash端口。
5. Clash接收到该请求后，根据代理规则进行出口。

从远程服务器返回的数据则会以以上方式反向走一遍。