在Android设备上以系统级运行Clash

CLASH FOR ANDROID#

以最常见的Clash for Android为例，他通常通过调用 Android 系统提供的VPN Service API工作。

当您在 CFA（Clash For Android）中启动代理时，应用会向系统申请创建一个虚拟 VPN 接口，此时会要求用户授权。随后 Android 会将设备上几乎所有应用程序的流量都重定向到此接口。

CFA 本质上其实是个壳，用于更方便与用户交互，本质其实是 Clash 核心在处理流量。

Clash 内核会根据您配置的规则来检查所有经过的流量，根据规则匹配结果，决定该流量走向。

BOX4MAGISK#

box4magisk借助 magisk/kernelSU/APatch 将 clash 部署在data/adb/，使其深度集成在 Android 系统的网络栈，实现了更高权限的流量接管。

由于他不依赖VPN Service API，因此完全不占用 VPN 槽位，通过透明代理，使其能绕过大多数检测。

TRANSPARENT PROXY#

Transparent Proxy，也就是透明代理。简单来讲，就是让应用程序无法检测其存在，让应用认为他在直接连接互联网。其劫持实现主要如下

TUN#

TUN设备是软件实现的虚拟网络设备。他不像eth0或wlan0那样是真实的硬件。他就像一个虚拟的网线接口，一端插在系统的网络栈，一端插在 Clash 核心。

其工作原理主要为：

系统根据iptables规则，把所有需要被代理的网络流量发送到TUN设备。Clash 内核则从另一端读取这些原始数据包进行处理，随后经过TUN回到系统内核，并出口到目的地。

TUN 设备在网络层工作，处理IP 数据包使其能够接管所有基于 IP 的流量。

TUN2SOCKS#

众所周知，Clash 一般监听在 SOCKS5/HTTP 端口，守听的是预期符合代理协议的数据。但 TUN 里给出的数据则是原始网络数据包，压根不是一回事。

而TUN2SOCKS作为其中的桥梁，达到了翻译的效果。他负责读取 TUN 来的原始数据包，以客户端身份将其打包为标准的 SOCKS5 协议格式，并将其发送给 Clash 内核，这样 Clash 就可以正常处理这些流量了。

• 对于 Clash 来说，它只是为叫做tun2socks的本地客户的提供代理服务，并不知道其接管的流量来自系统全局。
• 对于应用程序来说，它以为自己是直接连接到互联网，并不知道自己的流量被 TUN 劫持并转译。

IPTABLES#

系统流量默认可不会自己跑进 TUN，在 Box4magisk 中，使用到了iptables让流量走向 TUN。

我们先来了解下iptables，这是 Linux 系统内置的数据包过滤和操作工具，不过在这里，他的核心作用不是防火墙，而是对流量进行路由。

Box4magisk 在启动时，会添加一系列规则达到REDIRECT或TProxy到 TUN 设备的目的。

接下来我们会举一个例子，来更好理解他们协同工作时的流量走向#

1. app 试图连接xice.cx:443
2. iptables立即截获此 TCP 请求，根据规则，将流量引至 TUN 设备
3. TUN 会将流量引至tun0
4. tun2socks会从tun0中读取到这个原始 TCP 请求，并将其打包为SOCKS5协议的CONNET blog.chongxo.us 443发给 localhost 的 Clash 端口。
5. Clash 接收到该请求后，根据代理规则进行出口。

从远程服务器返回的数据则会以以上方式反向走一遍。