托管代理的机器可以与本地网络中的常规客户端并排设置。路由器会将所有 HTTP 流量（来自代理机器的流量除外）路由到您的代理机器。这是通过结合 IPTables（选择要转移的流量）和策略路由（进行转移）来实现的。

我在 VMware 中的 OpenWrt Chaos Calmer (15.05.1, r48532) 上测试了以下步骤。它们基于本指南。

首先，要设置策略路由，您需要 iproute2。安装它：

opkg update # If you haven't done it since rebooting
opkg install ip

然后，/etc/firewall.user用您最喜欢的编辑器打开并插入以下命令：

PROXYIP4=192.168.1.10
PROXYIP6=fe80:dead:beef::10

CLIENTIFACE=br-lan

FWMARK=2

# Permit Squid box out to the Internet
iptables -t mangle -A PREROUTING -p tcp --dport 80 -s $PROXYIP4 -j ACCEPT
ip6tables -t mangle -A PREROUTING -p tcp --dport 80 -s $PROXYIP6 -j ACCEPT

# Mark everything else on port 80 to be routed to the Squid box
iptables -t mangle -A PREROUTING -i $CLIENTIFACE -p tcp --dport 80 -j MARK --set-mark $FWMARK
iptables -t mangle -A PREROUTING -m mark --mark $FWMARK -j ACCEPT
ip6tables -t mangle -A PREROUTING -i $CLIENTIFACE -p tcp --dport 80 -j MARK --set-mark $FWMARK
ip6tables -t mangle -A PREROUTING -m mark --mark $FWMARK -j ACCEPT

# NP: Ensure that traffic from inside the network is allowed to loop back inside again.
iptables -t filter -A FORWARD -i $CLIENTIFACE -o $CLIENTIFACE -p tcp --dport 80 -j ACCEPT
ip6tables -t filter -A FORWARD -i $CLIENTIFACE -o $CLIENTIFACE -p tcp --dport 80 -j ACCEPT

# Fill 'proxy' routing table
ip route flush table proxy
ip route add default via $PROXYIP4 table proxy dev $CLIENTIFACE
ip -6 route add default via $PROXYIP6 table proxy dev $CLIENTIFACE

确保根据需要调整变量！

然后，编辑，使用任意自由 ID/etc/iproute2/rt_tables为表添加一行：proxy

...
201     proxy

最后一部分是针对标有 的流量的策略$FWMARK。打开/etc/config/network并创建规则条目：

config rule
    option mark 0x2
    option in lan
    option lookup proxy

确保in网络名称正确等等。

OpenWrt 部分的设置到此结束。代理计算机现在（实际上）已成为 HTTP 流量的默认网关。如果此计算机运行 Linux，您可以继续TPROXY 上的本指南。

路由开销应该很小。其余的取决于代理主机。

如果你中断了互联网访问，你可以通过删除路由规则轻松恢复：

ip rule del fwmark 2

还可以轻松地再次添加该规则：

ip rule add fwmark 2 table proxy

总结

代理主机确实必须位于客户端和互联网之间。但是，通过巧妙的路由，任何可直接访问的机器都可以成为“中间人”。

就像这样：