在Linux中，如何通过特定设备将路由添加到前缀，该前缀中的某些目的地通过默认路由？

路线是根据最具体的优先方法计算的。因此，如果您的小子网需要默认路由，请将其放在首位，然后添加其他路由：

本例中的默认网关是 10.0.0.1 VPN 是 10.0.0.2

ip route add 10.0.1.0/24 via 10.0.0.1
ip route add 10.2.0.0/16 via 10.0.0.2
ip route add default via 10.0.0.1

将通过默认网关将流量路由到子网 (10.0.1.0)，通过 10.0.0.2 路由 VPN，并通过默认网关将其他默认流量路由。

事实证明，在 Linux 中可以使用ipset匹配来选择路由表。额外的成分是使用 netfilter 规则，该规则将匹配传出数据包并对其应用fwmark，然后可用于选择专用路由表。然后，此专用路由表将仅包含一条通过 VPN 的默认路由。

这是脚本形式的总体思路，如何设置。

# 通过 TUN 路由的子网

DSTNETS=.../.. .../..

# 从通过 TUN 的路由中排除这些目的地

EXCLUDE=... ...

# 用于此连接的 TUN 设备及其参数 这些通常由 VPN 守护程序提供

TUNDEV=...
TUNADDR=.../..
TUNPEER=...

# 用于匹配目标的 ipset 名称。基于 TUN 名称

IPSET=${TUNDEV}ipset

# 我们需要一个 netfilter fwmark 和一个 iproute2 表。fwmarks 和表是 32 位值，仅限于有符号整数范围，即 [0, 2³¹-1] fwmarks 可以用作表示多个标志的位掩码，因此根据我们的需要，可以设置单个特定位（或几个），或者一个非常具体的值，然后比较是否相等。

FWMARK=0x...
TABLE=0x...

# 创建 ipset 并使用要匹配和不匹配的 IP 地址范围和子网填充它。

ipset create $IPSET hash:net
for d in $DSTNETS ; do ipset add $IPSET $d ; done
for x in $EXCLUDE ; do ipset add $IPSET $x nomatch ; done

# 创建一个新的 iproute2 规则表，用于为所有设置了 fwmark 的数据包进行路由查找

ip rule add fwmark $FWMARK table $TABLE

# 这就是奇迹发生的地方：创建一个 netfilter 规则，它将匹配源自该主机的数据包，用于匹配我们刚刚创建的 ipset 的目标，并用我们选择的 fwmark 标记它们。由于我们之前创建的规则，这些数据包将使用该特定表而不是全局表进行路由。

iptables -t mangle -A OUTPUT -m set --match-set $IPSET dst -j MARK --set-mark $FWMARK

# 还要添加一个 netfilter 规则来覆盖这些数据包的源地址，因为如果它们与 VPN 使用的地址范围不匹配，目标网络可能会拒绝它们

iptables -t nat -A POSTROUTING -m set --match-set $IPSET dst -j SNAT --to-source $INTERNAL_IP4_ADDRESS

# 现在我们可以设置实际的 TUN 设备了。严格来说，这些步骤之前可能已经完成，但是在 TUN 出现和建立路由规则之间的短时间内，一些数据包可能会陷入困境

ip link set dev $TUNDEV up
ip addr add $TUNADDR peer $TUNPEER dev $TUNDEV 

# 最后在我们的专用路由表中建立一个通过 TUN 的默认路由，由于 fwmark 规则，只有与我们的 ipset 匹配的数据包才会命中该路由

ip route add default dev $TUNDEV table $TABLE

要拆掉所有东西，只需反向执行脚本，删除东西；ipset可以使用单个命令进行编辑destroy。