[Feature] Mac M1 热点共享 Clash 代理 —— 探索记录-成功-不稳定

[askofcc]

功能描述 / Feature description

环境

• 设备：MacBook M1
• 网络：有线网卡 en5 连接互联网
• 代理：Clash Verge，TUN 模式开启
• 热点：Mac 系统热点，接口 bridge100，网段 192.168.2.0/24
• TUN 网卡：utun1024，地址 198.18.0.1

---

目标

手机连接 Mac 热点后，流量自动走 Mac 上的 Clash 代理。

---

探索过程

第一阶段：摸清 ICS 规则结构

Mac 开启热点后，系统 ICS 会自动注入 pf 规则，结构如下：

# 主锚点
nat-anchor "com.apple.internet-sharing"
rdr-anchor "com.apple.internet-sharing"

# 嵌套锚点
nat-anchor "com.apple.internet-sharing/shared_v4"
rdr-anchor "com.apple.internet-sharing/shared_v4"

# 实际规则
nat on en5 inet from 192.168.2.0/24 to any -> (en5:0)
no nat on bridge100 inet from 192.168.2.1 to 192.168.2.0/24
rdr on bridge100 inet proto tcp from 192.168.2.0/24 to any port = 21 -> 127.0.0.1 port 8021

关键发现：ICS 自己就在 bridge100 上用 rdr，说明 pf 对热点转发流量有效。

---

第二阶段：pf rdr 方案

在 /etc/pf.conf 中注入自定义锚点：

# /etc/pf.conf
scrub-anchor "com.apple/*"
nat-anchor "com.apple/*"
rdr-anchor "clash_hotspot"
load anchor "clash_hotspot" from "/etc/pf.anchors/clash_hotspot"
rdr-anchor "com.apple/*"
dummynet-anchor "com.apple/*"
anchor "com.apple/*"
load anchor "com.apple" from "/etc/pf.anchors/com.apple"

规则文件 /etc/pf.anchors/clash_hotspot：

rdr pass on bridge100 inet proto tcp from 192.168.2.0/24 to any -> 127.0.0.1 port 7892
rdr pass on bridge100 inet proto udp from 192.168.2.0/24 to any port 53 -> 127.0.0.1 port 53

结果：

• ✅ UDP 流量进入 Clash
• ✅ DNS 重定向成功
• ❌ TCP 流量无法建立连接

原因： Clash 的 7892 端口只监听 IPv6（*:7892），pf 把流量转发到 127.0.0.1（IPv4），连接失败。

---

第三阶段：TUN 直通方案

放弃 rdr TCP，改为直接把流量路由进 TUN 网卡：

# 开启转发
sudo sysctl -w net.inet.ip.forwarding=1

# 路由手机流量进 TUN
sudo route add -net 0.0.0.0/1 -interface utun1024
sudo route add -net 128.0.0.0/1 -interface utun1024

# 只保留 DNS 重定向
rdr pass on bridge100 inet proto udp from 192.168.2.0/24 to any port 53 -> 127.0.0.1 port 53

结果：

• ✅ 基本可用，流量进入 Clash
• ❌ 不稳定，部分请求异常
• ❌ IPv6 流量绕过规则直接出去
• ❌ 重启后规则失效，需要手动恢复

---

未解决的问题

1. TCP rdr 失败：Clash redir-port 只监听 IPv6，pf 转发到 IPv4 loopback 不通
2. IPv6 泄漏：bridge100 分配了 IPv6，手机走 IPv6 绕过所有规则
3. 稳定性差：TUN 路由方案部分请求异常，原因未明
4. 持久化：路由规则重启失效

---

可能的后续方向

1. 让 Clash 的 redir-port 同时监听 IPv4（修改配置 redir-port 绑定 0.0.0.0）
2. 禁用 bridge100 的 IPv6，强制手机走 IPv4
3. 研究直接对接 Clash TUN 的更稳定路由方案
4. 参考 Linux 下 clash-for-android 的热点共享实现思路

---

最后的实现效果是 通过频繁的测试 clash verge 本机的状态 节点的状态 最后手机是可以正常用mac的代理规则的 但是复现麻烦 逻辑麻烦 主要是设置很容易造成本地的代理/节点的状态异常

使用场景 / Use case

手机连接 Mac 热点后，流量自动走 Mac 上的 Clash 代理。
异常点太多 没能力处理
附上一份 不成熟的开机自动脚本 这个脚本会让本机节点出现问题 需要更换节点。或者删除路由

#!/bin/bash

GATEWAY="192.168.1.1"
WAN_IF="en5"
HOTSPOT_NET="192.168.2.0/24"
CLASH_DNS_PORT="53"

log() {
    echo "$(date '+%Y-%m-%d %H:%M:%S') $1" >> /var/log/clash-hotspot.log
}

log "=== clash-hotspot 启动 ==="

# 1. 写入 pf 锚点规则
cat > /etc/pf.anchors/clash_hotspot << 'RULES'
rdr pass on bridge100 inet proto udp from 192.168.2.0/24 to any port 53 -> 127.0.0.1 port 53
RULES

# 2. 写入 pf.conf
cat > /etc/pf.conf << 'PFCONF'
scrub-anchor "com.apple/*"
nat-anchor "com.apple/*"
rdr-anchor "clash_hotspot"
load anchor "clash_hotspot" from "/etc/pf.anchors/clash_hotspot"
rdr-anchor "com.apple/*"
dummynet-anchor "com.apple/*"
anchor "com.apple/*"
load anchor "com.apple" from "/etc/pf.anchors/com.apple"
PFCONF

# 3. 重载 pf
pfctl -f /etc/pf.conf
log "pf 规则已加载"

# 4. 开启 IP 转发
sysctl -w net.inet.ip.forwarding=1
log "IP 转发已开启"

# 5. 等待 Clash TUN 网卡出现
log "等待 Clash TUN 网卡..."
for i in $(seq 1 30); do
    TUN=$(ifconfig | grep -B1 "198.18.0.1" | grep utun | cut -d: -f1)
    if [ -n "$TUN" ]; then
        log "找到 TUN 网卡: $TUN"
        break
    fi
    sleep 1
done

if [ -z "$TUN" ]; then
    log "未找到 TUN 网卡，退出"
    exit 1
fi

# 6. 先确保默认路由正常（防止重复执行时路由混乱）
route delete -net 0.0.0.0/1 2>/dev/null
route delete -net 128.0.0.0/1 2>/dev/null

# 7. 获取当前代理节点真实 IP，加入直连路由
# 等待 Clash 建立连接
sleep 3
PROXY_IPS=$(lsof -i | grep verge | grep ESTABLISHED | grep -v "198.18" | awk '{print $9}' | cut -d: -f1 | grep -v "192.168" | sort -u)
for IP in $PROXY_IPS; do
    route add -host $IP $GATEWAY 2>/dev/null
    log "代理节点直连路由: $IP -> $GATEWAY"
done

# 8. 把热点网段路由到 TUN
route add -net 0.0.0.0/1 -interface $TUN
route add -net 128.0.0.0/1 -interface $TUN
log "热点路由已添加到 $TUN"

# 9. 确保本机局域网和网关走有线
route add -net 192.168.1.0/24 $GATEWAY 2>/dev/null
route add -host $GATEWAY -interface $WAN_IF 2>/dev/null
log "本机局域网路由已保护"

log "=== 配置完成 ==="

适用系统 / Target OS

• windows
• macos
• linux