NextTrace 也不错，准确度很高 https://github.com/nxtrace/NTrace-core

@Danswerme 不用担心，哪有那么快普及，各省都在建反诈，世界范围内都有国家摩拳擦掌要监控流量并限制不听话的网站，例如英国的成人墙，使绊子还来不及，好日子还在后头呢。只需要一刀切丢掉所有 ECH 的握手包即可，客户端会回退到明文 SNI 的。

@Danswerme 当然是在路由器安装 OpenGFW ，发现常见 DoH 的 SNI 就发 RST ，这样就会回退到明文模式了，走墙的路，让墙无路可走

Color OS 也这样，内置了 114DNS ，我自己是在路由器 DNAT 所有目的 53 端口的请求到自己内网的 DNS ，如果你不想动光猫也可以在光猫的防火墙设置屏蔽常见 DNS 的 IP 地址，dnsmasq 用运营商下发的 DNS

宽带不要对外暴露任何 Web 服务，查到会封停的。最好是套 wireguard 或 IPSec/IKEv2 连回家。

全靠同行衬托

并且在防火墙按白名单开入站端口，在外部拿 nmap 扫一遍确保不用的端口全都关闭了，因为可能会有神人软件偷偷监听一个端口提供 HTTP 服务

备案只管建网站，不要有任何 HTTP/HTTPS 入站，连回家一律用 Wireguard 或 IPSec/IKEv2

您要找的是不是：
https://github.com/wangyu-/udp2raw

@kob5213 远端服务器地址

@microka 问问别人吧，好多年没用过 openwrt 了

@microka 可以作用在跳过私有地址后作用到所有地址，但是这个风险比较高，我自己没测试过，可能把你锁在路由器外面，另外就是这个方法只能在你主动发起连接时起作用，别人连接你时无解，这个我也加到项目的 readme 里面了：
#!/usr/sbin/nft -f

#清空 nftables 规则，小心这一条
flush ruleset

table inet filter {
chain postrouting {
type filter hook postrouting priority 0 ; policy accept;
#跳过 IPv4 私有地址
ip daddr {100.64.0.0/10, 0.0.0.0/8, 10.0.0.0/8, 127.0.0.0/8, 169.254.0.0/16, 172.16.0.0/12, 192.0.0.0/24, 192.0.2.0/24, 192.88.99.0/24, 192.168.0.0/16, 198.18.0.0/15, 198.51.100.0/24, 203.0.113.0/24, 224.0.0.0/4, 240.0.0.0/4} return
#跳过 IPv6 私有地址
ip6 daddr {::, ::1, ::ffff:0:0:0/96, 64:ff9b::/96, 100::/64, 2001::/32, 2001:20::/28, 2001:db8::/32, 2002::/16, fc00::/7, fe80::/10, ff00::/8} return
#被标记的连接不再打标记
ct mark 0xDEA10103 return
#IPv4 ，其余所有地址，端口 0-65535 ，长度大于 120 的包，设置连接标记和包标记
ip protocol tcp tcp dport { 0-65535 } meta length gt 120 ct mark set 0xDEA10103 meta mark set 0xDEA10103 return
#IPv6 ，其余所有地址，端口 0-65535 ，长度大于 100 的包，设置连接标记和包标记
ip6 nexthdr tcp tcp dport { 0-65535 } meta length gt 100 ct mark set 0xDEA10103 meta mark set 0xDEA10103 return

}

}

之前写的 iptables/nftables 示例会给每个符合条件的包都发送一次伪装包，影响通信效率，以我 fork 版本的 mark 写个新例子，只在握手成功后发一次伪装包，iptables 太长发不出来，去项目主页看 https://github.com/kmb21y66/nf_deaf/

例如 0xDEA10103：错误的 TCP 校验和，为防止原始包抢先发出设置 jiffies 为 1 ，TTL 为 3 。

nftables 配置文件示例：

#!/usr/sbin/nft -f

#清空 nftables 规则，小心这一条
flush ruleset

table inet filter {
chain postrouting {
type filter hook postrouting priority 0 ; policy accept;
#被标记的连接不再打标记
ct mark 0xDEA10103 return
#IPv4 ，目的地址 1.1.1.1 ，TCP 端口 0-65535 ，长度大于 120 的包，设置连接标记和包标记后发出
ip daddr {1.1.1.1} tcp dport { 0-65535 } meta length gt 120 ct mark set 0xDEA10103 meta mark set 0xDEA10103 return
#IPv6 ，目的地址 2606:4700:4700::1111 ，TCP 端口 0-65535 ，长度大于 100 的包，设置连接标记和包标记后发出
ip6 daddr {2606:4700:4700::1111} tcp dport { 0-65535 } meta length gt 100 ct mark set 0xDEA10103 meta mark set 0xDEA10103 return
}
}

之前写的 iptables/nftables 示例会给每个符合条件的包都发送一次伪装包，会影响通信效率，以我 fork 版本的 mark 写个新例子，mark 视运营商情况自行随意组合，例如设置 TTL 为 3 ，错误的 TCP 校验和，只在握手成功后发一次伪装包，为防止原始包抢先发出设置 jiffies 为 1 ，mark 是 0xDEA10103

1. iptables 太长发不出来，去项目主页看 https://github.com/kmb21y66/nf_deaf/

2. nftables 配置文件示例：

#!/usr/sbin/nft -f

#清空 nftables 规则，小心这一条
flush ruleset

table inet filter {
chain postrouting {
type filter hook postrouting priority 0 ; policy accept;
#被标记的连接不再打标记
ct mark 0xDEA10103 return
#IPv4 ，目的地址 1.1.1.1 ，TCP 端口 0-65535 ，长度大于 120 的包，设置连接标记和包标记后发出
ip daddr {1.1.1.1} tcp dport { 0-65535 } meta length gt 120 ct mark set 0xDEA10103 meta mark set 0xDEA10103 return
#IPv6 ，目的地址 2606:4700:4700::1111 ，TCP 端口 0-65535 ，长度大于 100 的包，设置连接标记和包标记后发出
ip6 daddr {2606:4700:4700::1111} tcp dport { 0-65535 } meta length gt 100 ct mark set 0xDEA10103 meta mark set 0xDEA10103 return
}
}

@microka 那里的 IP 填的是你使用的目的服务器地址

@q0000x 看项目主页我写的教程，肯定也是要添加 nftables