硬核！ macOS 内核路由表编程：直接 API 操作指南

在 Linux 服务器上调整路由表，我们通常会使用 route 命令或者 ip route 命令。但当我们需要在 macOS 下进行类似的底层路由操作时，尤其是需要直接在代码层面控制，情况就变得复杂起来。例如，在某些特定的网络代理场景下，我们可能需要在用户态程序中直接修改内核路由表，以便实现更灵活的流量控制和转发。 这篇文章将深入探讨 macOS 内核路由表操作 的方法，直接通过 API 进行编程。

问题场景重现：绕过代理的特定流量

假设我们有一个场景：需要让所有访问国内网站的流量直连，而访问国外网站的流量走代理。这在公司内部网络或者需要访问特定资源时非常常见。传统的做法是使用 PAC 文件或者系统代理设置，但这些方法不够灵活，无法针对特定进程或用户的需求进行定制。

使用 Nginx 反向代理 + 负载均衡 可以初步实现流量转发，但细粒度的路由控制仍然需要修改操作系统的路由表才能实现。宝塔面板虽然简化了 Nginx 的配置，但对于这种底层需求仍然无能为力。高并发连接数的场景下，仅仅依靠 Nginx 的 upstream 模块也容易出现性能瓶颈。

底层原理深度剖析：net.kern.routing.route MIB

macOS 的内核路由表是通过 net.kern.routing.route MIB (Management Information Base) 来管理的。我们可以使用 sysctl 命令来查看和修改这些 MIB 值。但要在代码中直接操作，我们需要使用 sysctl 相关的 API。

sysctl 函数允许我们读取和修改内核参数。net.kern.routing.route MIB 提供了访问路由表信息的接口。通过解析这个 MIB 返回的数据，我们可以获取路由表项，并进行添加、删除和修改操作。

具体代码解决方案：添加一条路由规则

下面的代码示例演示了如何使用 sysctl API 添加一条路由规则，将所有访问 192.168.1.0/24 网段的流量路由到 192.168.1.1 网关。

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/sysctl.h>
#include <netinet/in.h>
#include <arpa/inet.h>
#include <errno.h>

int main() {
    // 定义需要添加的路由信息
    const char *dst_addr_str = "192.168.1.0";
    const char *netmask_str = "255.255.255.0";
    const char *gateway_addr_str = "192.168.1.1";

    // 将字符串形式的 IP 地址转换为网络字节序的整数
    struct sockaddr_in dst_addr, netmask, gateway_addr;
    inet_pton(AF_INET, dst_addr_str, &(dst_addr.sin_addr));
    inet_pton(AF_INET, netmask_str, &(netmask.sin_addr));
    inet_pton(AF_INET, gateway_addr_str, &(gateway_addr.sin_addr));

    // 构造 sysctl 的参数
    int mib[6];
    mib[0] = CTL_NET;
    mib[1] = AF_ROUTE;
    mib[2] = 0;  // Protocol family
    mib[3] = AF_INET; // Address family
    mib[4] = NET_RT_FLAGS;
    mib[5] = RTF_GATEWAY; // Routing flag for gateway

    // 构造路由消息
    struct {
        struct rt_msghdr rtm;
        struct sockaddr_in dst;
        struct sockaddr_in netmask;
        struct sockaddr_in gateway;
    } route_msg;

    memset(&route_msg, 0, sizeof(route_msg));

    // 填充路由消息头
    route_msg.rtm.rtm_msglen = sizeof(route_msg);
    route_msg.rtm.rtm_version = RTM_VERSION;
    route_msg.rtm.rtm_type = RTM_ADD; // 添加路由
    route_msg.rtm.rtm_addrs = RTA_DST | RTA_NETMASK | RTA_GATEWAY;
    route_msg.rtm.rtm_flags = RTF_UP | RTF_GATEWAY | RTF_STATIC;
    route_msg.rtm.rtm_pid = getpid();
    route_msg.rtm.rtm_seq = 1;  // Arbitrary sequence number

    // 填充目标地址、子网掩码和网关地址
    route_msg.dst = (struct sockaddr_in){.sin_len = sizeof(struct sockaddr_in), .sin_family = AF_INET, .sin_addr = dst_addr.sin_addr };
    route_msg.netmask = (struct sockaddr_in){.sin_len = sizeof(struct sockaddr_in), .sin_family = AF_INET, .sin_addr = netmask.sin_addr };
    route_msg.gateway = (struct sockaddr_in){.sin_len = sizeof(struct sockaddr_in), .sin_family = AF_INET, .sin_addr = gateway_addr.sin_addr };

    // 调用 sysctl 添加路由
    size_t len = sizeof(route_msg);
    int result = sysctl(mib, 6, &route_msg, &len, &route_msg, sizeof(route_msg));

    if (result == -1) {
        perror("sysctl failed");
        return 1;
    }

    printf("Route added successfully.\n");

    return 0;
}

代码解释：

1. 包含头文件： 包含必要的头文件，用于网络编程和 sysctl 函数调用。
2. 定义路由信息： 定义目标地址、子网掩码和网关的字符串表示。
3. IP 地址转换： 使用 inet_pton 函数将字符串形式的 IP 地址转换为网络字节序的整数。
4. 构造 mib 参数： 构造 sysctl 函数需要的 mib 参数，指定操作的 MIB。
5. 构造路由消息： 构造 rt_msghdr 结构体，填充路由消息头和地址信息。
6. 调用 sysctl： 调用 sysctl 函数，将路由消息传递给内核，添加路由。
7. 错误处理： 检查 sysctl 函数的返回值，如果失败，则打印错误信息。

实战避坑经验总结

1. 权限问题： 运行这段代码需要 root 权限，否则 sysctl 调用会失败。可以使用 sudo 命令来执行程序。
2. 地址族： 确保目标地址、子网掩码和网关的地址族一致，都是 AF_INET。
3. 路由冲突： 如果要添加的路由与现有路由冲突，sysctl 调用会失败。可以先删除冲突的路由，再添加新的路由。
4. 内核版本差异： 不同的 macOS 内核版本可能存在细微的 API 差异，需要根据实际情况进行调整。
5. 内存管理： 在更复杂的场景下，例如需要动态地创建和删除大量的路由，需要注意内存管理，避免内存泄漏。

了解 macOS 内核路由表操作 的底层原理和 API，可以帮助我们更灵活地控制网络流量，实现更高级的网络功能。希望这篇文章能够帮助你入门 macOS 内核路由编程。