IPTables 和透明代理

我已经在 上设置了本地透明 TCP 代理localhost。我想将所有 TCP 流量重定向到该代理，这样它就可以处理它，并且不会“泄漏”任何东西，从而绕过代理。我需要使用 IPTables 来重定向流量。我考虑过使用 TPROXY，但这需要应用程序支持，并且目前仅支持 REDIRECT 目标。

我使用了以下 IPTables 规则：

iptables -t nat -A OUTPUT -o lo -j RETURN
iptables -t nat -A OUTPUT -d 127.0.0.0/8 -j RETURN
iptables -t nat -A OUTPUT -d 192.168.0.0/16 -j RETURN
iptables -t nat -A OUTPUT -m owner --uid-owner proxy-owner -j RETURN
iptables -t nat -A OUTPUT -p tcp --syn -j REDIRECT --to-ports $PROXY_PORT

iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -d 127.0.0.0/8 -j ACCEPT
iptables -A OUTPUT -m owner --uid-owner proxy-owner -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -j LOG
iptables -P OUTPUT DROP

他们似乎工作正常，但我很困惑为什么。

这里有两个问题我仍然不知道答案：

1）关于NAT表中的最后一条规则，为什么我只想将 SYN 数据包重定向到本地代理端口 ( --syn)？ 我想重定向所有 TCP 数据包。在当前配置中，似乎只有 SYN 数据包被重定向到本地代理，而所有其他数据包都被允许直接流向目的地，导致（理论上）完全混乱（或者除了 SYN 之外的所有数据包都被过滤器阻止）桌子）。但是，如果我删除该--syn选项并将所有数据包重定向到本地代理，则代理根本无法工作。为什么？

2）关于过滤表中的第4条规则，为什么我需要明确允许传出已建立的连接？无论如何，代理是唯一允许将数据包发送到非本地主机目的地的应用程序，并且它已经被允许这样做（规则 3），那么我需要第四条规则做什么呢？似乎它允许非代理连接绕过代理。

谢谢你！