Правила маршрутизации
Правила маршрутизации определяют, какой исходящий (outbound) обрабатывает конкретный трафик: прокси, прямое соединение (freedom) или блокировка (blackhole). Правила оцениваются сверху вниз — срабатывает первое совпадение.
Как трафик попадает в Xray
Не весь трафик автоматически проходит через Xray. Существует три уровня обработки, и каждый последующий работает только с тем, что прошло через предыдущий.
Уровень 1: Перехват (Политики B/R)
Политики обхода/перенаправления определяют, какие устройства и порты перехватываются. Трафик, не попавший под перехват, идёт напрямую — Xray его не видит.
Уровень 2: DNS обход (до Xray)
Перехваченный трафик может быть дополнительно отфильтрован до попадания в Xray. Это снижает нагрузку на процессор роутера, но уменьшает гибкость маршрутизации.
Изначально весь перехваченный трафик перенаправляется на входящий порт dokodemo-door Xray. На слабых роутерах это создаёт высокую нагрузку при большом объёме трафика. DNS обход решает эту проблему, фильтруя трафик на уровне iptables/ipset ещё до Xray.
Режимы
OFF — весь перехваченный трафик идёт в Xray. Правила маршрутизации работают полностью.
BYPASS — из конфига извлекаются домены правил с типом outbound
freedom. Трафик на эти домены не попадает в Xray и идёт напрямую. Например, правилоdomain:ru→freedomозначает, что весь трафик на.ruобходит Xray. Остальной трафик попадает в Xray.REDIRECT — обратно BYPASS. Извлекаются домены правил с типом outbound не
freedom, и только этот трафик направляется в Xray. Например, правилоgeosite:youtube→proxyозначает, что только трафик YouTube попадёт в Xray, а всё остальное пойдёт напрямую.
Важно
DNS обход работает до правил маршрутизации Xray. Трафик, отфильтрованный на этом уровне, никогда не попадёт в Xray, и правила маршрутизации для него не применятся.
Заметка
В категориях геодаты изредка встречаются записи с префиксом regexp:. Такие записи игнорируются DNS обходом — ipset не поддерживает регулярные выражения.
Уровень 3: Правила маршрутизации Xray
Трафик, прошедший через предыдущие уровни, обрабатывается правилами маршрутизации Xray — о них остальная часть этого документа.
Синтаксис доменов
Префиксы
| Префикс | Поведение | Пример |
|---|---|---|
domain: | Домен + все поддомены | domain:google.com → google.com, maps.google.com |
full: | Точное совпадение | full:google.com → только google.com |
keyword: | Содержит подстроку | keyword:google → google.com, mygooglesite.net |
regexp: | Регулярное выражение | regexp:.*\.edu$ → harvard.edu, mit.edu |
geosite: | Категория из базы geosite | geosite:netflix → все домены Netflix |
ext:xrayui: | Пользовательский список доменов | ext:xrayui:mylist → домены из вашего списка |
Примеры сопоставления domain:
domain:com— все домены.comи их поддоменыdomain:dmn.com—dmn.com,www.dmn.com,sub.domain.dmn.comdomain:www.dmn.com— толькоwww.dmn.comи его поддомены, но неdmn.com
Базы данных Geosite
Geosite — поддерживаемые сообществом списки доменов, сгруппированных по категориям. Вместо ручного перечисления десятков доменов для сервиса можно указать одну категорию.
Пример — geosite:youtube включает youtube.com, youtu.be, youtube-nocookie.com, CDN, региональные домены и т.д.
Популярные категории
| Категория | Описание |
|---|---|
geosite:google | Все сервисы Google |
geosite:youtube | YouTube и связанные домены |
geosite:netflix | Netflix |
geosite:facebook | Facebook и Instagram |
geosite:twitter | Twitter/X |
geosite:telegram | Telegram |
geosite:spotify | Spotify |
geosite:category-ads-all | Рекламные сети |
geosite:category-media-ru | Заблокированные медиа в России |
geosite:cn | Китайские домены |
geosite:geolocation-!cn | Не китайские домены |
Полный список категорий: v2fly/domain-list-community
Обновление баз данных
Вручную: Routing → Update community files → Apply
Автоматически: General Options → Geodata → Auto-update geodata files (обновление в 03:00)
Пользовательские списки
Вы можете создавать свои категории доменов и использовать их в правилах как ext:xrayui:имя. Подробности: Менеджер файлов геоданных.
GeoIP
| Категория | Описание |
|---|---|
geoip:cn | Китайские IP-адреса |
geoip:us | IP-адреса США |
geoip:private | Частные/LAN адреса |
geoip:cloudflare | IP-адреса Cloudflare |
Управление правилами
Интерфейс
- Перейдите в раздел Routing
- Нажмите Manage рядом с Rules
Добавление правила
Нажмите Add new rule. Заполните параметры:
| Поле | Описание |
|---|---|
| Friendly Name | Описательное имя правила |
| Outbound connection | Куда направить трафик: proxy, direct, block |
| Enabled | Включить/выключить правило |
Критерии соответствия
Правило может содержать один или несколько критериев. Если указано несколько — применяется логика И (все условия должны совпасть).
Домены
По одному на строку. Поддерживаемые форматы: domain:, full:, keyword:, regexp:, geosite:, ext:xrayui:.
Совет
Кнопки geosite: и ext:xrayui: над полем ввода вставляют префикс. Автозаполнение помогает найти доступные теги.
IP-адреса
192.168.1.1
192.168.1.0/24
geoip:cn
geoip:private
Исходные IP (Source IPs)
Фильтрация по IP устройства-источника:
192.168.1.100
192.168.1.0/24
Порты
443
8080:8090
Заметка
Для диапазонов используйте двоеточие (:), а не дефис.
Сети
- tcp — только TCP
- udp — только UDP (включая QUIC/HTTP3)
- Пусто — оба протокола
Протоколы
- http, tls, bittorrent, quic
Определяются по содержимому пакетов, а не по номеру порта.
Порядок правил
Используйте кнопки вверх/вниз для изменения порядка. Более конкретные правила — выше, catch-all — в конце.
Сохранение
- Save в редакторе правил
- Apply на главной странице
Системные правила
Некоторые правила генерируются автоматически (DNS, политики B/R). Их нельзя редактировать, но можно отключить.
Отключение правил
Снимите флажок у правила — оно перемещается в раздел «отключенные» и сохраняет конфигурацию.
Примеры конфигураций
Netflix через прокси
Friendly Name: Netflix через прокси
Outbound: proxy
Domains: geosite:netflix
Блокировка рекламы
Friendly Name: Блокировка рекламы
Outbound: block
Domains: geosite:category-ads-all
Локальная сеть напрямую
Friendly Name: LAN direct
Outbound: direct
IPs:
geoip:private
Торренты напрямую
Friendly Name: Торренты direct
Outbound: direct
Protocols: bittorrent
HTTPS конкретного устройства через прокси
Friendly Name: Ноутбук HTTPS proxy
Outbound: proxy
Source IPs: 192.168.1.100
Ports: 443
Networks: tcp
Типовые схемы маршрутизации
Проксировать всё, кроме локального
Правило 1 — direct: IPs: geoip:private
Правило 2 — proxy: (пустые критерии = catch-all)
Только конкретные сервисы через прокси
Правило 1 — proxy: Domains: geosite:netflix, geosite:youtube
Правило 2 — direct: (catch-all)
Обход региональных ограничений (Россия)
Правило 1 — proxy: Domains: geosite:category-media-ru
Правило 2 — direct: Domains: geosite:ru
Правило 3 — proxy: Domains: geosite:geolocation-!ru
Дополнительные настройки
Domain Matcher
- hybrid (по умолчанию) — баланс скорости и точности
- linear — последовательное сопоставление, точнее, но медленнее
Балансировщики
Балансировщики распределяют трафик между несколькими outbound-соединениями. Вместо маршрутизации на один outbound, правило может направлять трафик на балансировщик, который выбирает лучший outbound на основе настроенной стратегии.
Когда использовать балансировщики
- У вас несколько прокси-серверов и вы хотите распределить нагрузку между ними
- Вы хотите автоматическое переключение при отказе сервера
- Вы хотите маршрутизировать через сервер с наименьшей задержкой
Управление балансировщиками
- Перейдите в раздел Routing
- Нажмите Manage рядом с Balancers
- Нажмите Add для создания нового балансировщика
Поля балансировщика
| Поле | Описание |
|---|---|
| Tag | Уникальный идентификатор. Используется для ссылки из правил маршрутизации. |
| Strategy | Как балансировщик выбирает outbound (см. ниже). |
| Selectors | Префиксы для сопоставления тегов outbound. По одному на строку. |
| Fallback outbound | Outbound для использования, если все подобранные outbound недоступны. |
Стратегии
| Стратегия | Описание |
|---|---|
random | Случайный выбор подходящего outbound. (По умолчанию) |
roundRobin | Выбор outbound по порядку. |
leastPing | Выбор outbound с наименьшей задержкой. Требует observatory. |
leastLoad | Выбор наиболее стабильного outbound. Требует observatory. |
Заметка
Стратегии leastPing и leastLoad требуют настройки observatory или burstObservatory в конфигурации Xray. Без этого они работают как random.
Сопоставление селекторов
Селекторы используют сопоставление по префиксу с тегами outbound. Например:
| Теги outbound | Селектор | Совпадения |
|---|---|---|
us-1, us-2, eu-1, eu-2 | us- | us-1, us-2 |
proxy-a, proxy-b, direct | proxy- | proxy-a, proxy-b |
fast, fallback | f | fast, fallback |
В форме редактирования отображается предпросмотр совпадающих outbound под полем селекторов.
Использование балансировщиков в правилах
При редактировании правила маршрутизации выберите Balancer как тип цели вместо Outbound:
Затем выберите тег балансировщика из выпадающего списка. Правила с балансировщиком отображаются с иконкой ⚖ в списке правил.
Важно
Правило может иметь либо outboundTag, либо balancerTag, но не оба. Переключение типа цели очищает другое поле.
Пример: Round-robin между прокси в США
Создайте outbound:
us-east,us-west,us-centralСоздайте балансировщик:
Tag: us-balance Strategy: roundRobin Selectors: us-Создайте правило маршрутизации:
Friendly Name: US traffic balanced Target type: Balancer Balancer: us-balance Domains: geosite:netflix, geosite:youtube
Пример: Переключение при отказе с резервным outbound
Создайте outbound:
primary-proxy,backup-proxyСоздайте балансировщик:
Tag: failover Strategy: leastPing Selectors: primary- Fallback outbound: backup-proxyНаправьте трафик на балансировщик
failover. Еслиprimary-proxyстанет недоступен, трафик автоматически переключится наbackup-proxy.
Устранение неполадок
Правила не срабатывают
- DNS обход — трафик может фильтроваться до Xray. Временно установите OFF для проверки.
- Политики B/R — трафик может не перехватываться. Проверьте MAC-адреса и порты.
- Порядок правил — конкретные правила должны быть выше общих.
- Outbound — убедитесь, что указанный outbound существует.
- Синтаксис —
domain:а неdomain.,geosite:а неgeosite..
Трафик не проксируется
- DNS обход в режиме REDIRECT, а домен совпал с
freedomправилом - Политика B/R не включает нужные порты
- QUIC/HTTP3 (UDP 443) не перехватывается — добавьте UDP 443 в политику
Неожиданные прямые соединения
- Ipset-правила от DNS обхода создают обход на уровне ядра
- IPv6 трафик не обрабатывается
- Кэшированные DNS-ответы от предыдущей конфигурации
Отладка
Включите логи: General Options → Logs → Access logs, уровень info или debug.
tail -f /tmp/log/xray_access.log
Заметка
После любых изменений нажмите Apply на главной странице для активации новой конфигурации.