[Bug]068版本以后tproxy下docker的udp不通

[lito12345]

Verify Steps

• Tracker 我已经在 Issue Tracker 中找过我要提出的问题
• Branch 我知道 OpenClash 的 Dev 分支切换开关位于插件设置-版本更新中，或者我会手动下载并安装 Dev 分支的 OpenClash
• Latest 我已经使用最新 Dev 版本测试过，问题依旧存在
• Relevant 我知道 OpenClash 与 内核(Core)、控制面板(Dashboard)、在线订阅转换(Subconverter)等项目之间无直接关系，仅相互调用
• Definite 这确实是 OpenClash 出现的问题
• Contributors 我有能力协助 OpenClash 开发并解决此问题
• Meaningless 我提交的是无意义的催促更新或修复请求

OpenClash Version

v0.46.070

Bug on Environment

Istoreos

OpenWrt Version

istoresos 22.03.7

Bug on Platform

Linux-amd64(x86-64)

Describe the Bug

068版本开始，docker如果网络模式是host，tproxy的udp均不通，tun正常，不管是纯tun还是混合，我知道固件如果有docker建议用tun，但068版本以前tproxy的udp也正常。
istoreos的防火墙版本是firewall3

To Reproduce

必然覆现

OpenClash Log

没有日志提示

OpenClash Config

Expected Behavior

希望tproxy恢复docker在host网络下udp正常

Additional Context

No response

[vernesong]

你的意思是docker的udp不通？

[myc2002]

+1，应该同样问题，70版本会导致内网穿透服务失效

[vernesong]

wireguard和tailscale都正常啊，docker的udp不通是因为现在的版本默认代理路由自身的udp

[myc2002]

我是用的istore易有云，这东西应该是运行在host网络的，70版本无法打洞，64版本一下就打洞成功了，不过这东西没有相关日志，难以排查。还有麻烦请教下V佬各dev版本有存档能下载嘛，我记得64后一个dev版本的openclash于我而言用着没什么问题，想先装回去用。

[lito12345]

wireguard和tailscale都正常啊，docker的udp不通是因为现在的版本默认代理路由自身的udp

排查了一下
我的wireguard是在宿主机的插件一切正常。
tailscale在docker下:
1、用host，oc用v4v6均用tproxy一定不通
2、用bridge，tproxy能通，但速度极慢
3、068用tun转发一切正常
4、070用tun转发问题也很奇怪，重启oc大概1小时左右是正常的，1小时后5G网下一直是正常的，wifi环境下（有v6）打洞失败，重启oc后又能正常一段时间。
5、另外，alist与substore等在docker的host下，用tproxy一定联不通外网，用tun正常。
个人判断应该是oc重置防火墙的原因。

[ComixHe]

我在升级后遇到了docker pull失败的情况，DNS解析是没问题的
尝试curl -v -fsSL https://registry-1.docker.io/v2/，提示The TLS connection was non-properly terminated.
降级到0.46.033后一起正常

[vernesong]

那直接把udp代理关了试试，tproxy应该还是受docker的bridge-nf-call-iptables影响

[lito12345]

目前是重启内核后tailscale的打洞没有问题，我的tailscale在docker，但是观察日志openclash出现一次防火墙重置后，在外用WiFi打洞不成功，蜂窝网5G还能成功，但是防火墙重置几次后蜂窝网也打洞失败，需要重启内核后又恢复正常!