OpenGFW 是一个 Linux 上灵活、易用、开源的 GFW 实现,并且在许多方面比真正的 GFW 更强大。可以部署在家用路由器上的网络主权。
Caution
本项目仍处于早期开发阶段。测试时自行承担风险。
Note
我们正在寻求贡献者一起完善本项目,尤其是实现更多协议的解析器!
- 完整的 IP/TCP 重组,各种协议解析器
- HTTP, TLS, DNS, SSH, 更多协议正在开发中
- Shadowsocks 等 "全加密流量" 检测 (https://gfw.report/publications/usenixsecurity23/data/paper/paper.pdf)
- [开发中] 基于机器学习的流量分类
- 基于流的多核负载均衡
- 连接 offloading
- 基于 expr 的强大规则引擎
- 灵活的协议解析和修改框架
- 可扩展的 IO 实现 (目前只有 NFQueue)
- [开发中] Web UI
- 广告拦截
- 家长控制
- 恶意软件防护
- VPN/代理服务滥用防护
- 流量分析 (纯日志模式)
go build
export OPENGFW_LOG_LEVEL=debug
./OpenGFW -c config.yaml rules.yaml
io:
queueSize: 1024
local: true # 如果需要在 FORWARD 链上运行 OpenGFW,请设置为 false
workers:
count: 4
queueSize: 16
tcpMaxBufferedPagesTotal: 4096
tcpMaxBufferedPagesPerConn: 64
udpMaxStreams: 4096
关于规则具体支持哪些协议,以及每个协议包含哪些字段的文档还没有写。目前请直接参考 "analyzer" 目录下的代码。
规则的语法请参考 Expr Language Definition。
- name: block v2ex http
action: block
expr: string(http?.req?.headers?.host) endsWith "v2ex.com"
- name: block v2ex https
action: block
expr: string(tls?.req?.sni) endsWith "v2ex.com"
- name: block shadowsocks
action: block
expr: fet != nil && fet.yes
- name: v2ex dns poisoning
action: modify
modifier:
name: dns
args:
a: "0.0.0.0"
aaaa: "::"
expr: dns != nil && dns.qr && any(dns.questions, {.name endsWith "v2ex.com"})
allow
: 放行连接,不再处理后续的包。block
: 阻断连接,不再处理后续的包。如果是 TCP 连接,会发送 RST 包。drop
: 对于 UDP,丢弃触发规则的包,但继续处理同一流中的后续包。对于 TCP,效果同block
。modify
: 对于 UDP,用指定的修改器修改触发规则的包,然后继续处理同一流中的后续包。对于 TCP,效果同allow
。