2.1 NAT 回流 (NAT Loopback) 的底层逻辑#

对于家庭路由器来说，其实更应该被称为 NAT 网关。它通过网络地址转换，让内网设备共享 WAN 口 IP 上网。我们通过三个场景来理清通讯逻辑：

• 内网访问内网服务器：通过交换机直接通讯，没有任何障碍。
• 外网访问内网服务器：必须通过 NAT（如端口映射、DMZ）才能进入内网。
• 内网访问公网 IP 的内网服务器：如果没有配置 NAT 回流，访问必然失败。

失败原因解析： 内网用户通过出口公网 IP 访问内网服务器时，数据包到达出口设备（路由器），由于端口映射的存在，目的地址会被修改为内网服务器地址；服务器收到包后进行回复，源地址和目的地址对调，数据包直接通过交换机返回给了内网用户。然而，用户端发起请求时期待的是来自公网 IP 的回包，结果收到的却是来自内网服务器 IP 的回包。这种地址不匹配会导致解封失败，数据包被丢弃。开启 NAT 回流就是为了强制让路由器介入这个过程，修正地址。

2.2 为什么 DNS 劫持是更好的“平替”方案？#

• 虽然开启回流能解决问题，但它会让流量在路由器 CPU 里“绕路”，增加不必要的负载。
• DNS 劫持（DNS 重写） 的思路则是在 DNS 解析层面直接解决：当你在局域网内发起域名请求时，内网 DNS 服务器直接截获该请求，并返回服务器的私有内网 IP（如 192.168.3.1）。这样流量根本不会触发 NAT 转换，而是直接通过交换机进行线速传输。

3.1 组网方式#

我先介绍一下我的组网方式 iKuai 为主路由拨号，OpenWRT 旁路由，Lucky 就是安装在 OpenWRT上 的。

1
# iKuai IP
2
# 192.168.3.1
3

4
# OpenWRT IP
5
# 192.168.3.2
6

7
# Adguard Home IP
8
# 192.168.3.3

3.2 AdGuard Home 配置 (DNS劫持)#

通常玩 NAS 和软路由的，基本上 Adguard Home 这样的服务也是搭建的，那么我就用 Adguard Home 来重写 DNS。

利用你现有的 AdGuard Home（192.168.3.3）作为内网 DNS 核心，手动为域名指派内网地址。进入 过滤器 -> 自定义过滤规则，添加以下语法：

1
||你的域名1.com^$dnsrewrite=192.168.3.2
2
||你的域名2.com^$dnsrewrite=192.168.3.2

注：192.168.3.2 是 Lucky 所在的旁路节点。这样做可以确保流量在内网直接准确找到 Lucky 的反向代理服务。