Nick

> 软件包tc就可以做到吧，还能增加延迟，还有随机抖动 这个可以实现，只拦截Shadowsocks，其他的如Trojan就给他通过吗？

> 因为目前是按 inline 部署在路由/交换机上设计的，这样才能实现拦截特定流/包。添加端口镜像的支持本身应该不难，但是现有的 block/drop/modify 这些 actions 就没法实现了。 在文档中查看到： 支持的 action allow: 放行连接，不再处理后续的包。 block: 阻断连接，不再处理后续的包。 drop: 对于 UDP，丢弃触发规则的包，但继续处理同一流中的后续包。对于 TCP，效果同 block。 modify: 对于 UDP，用指定的修改器修改触发规则的包，然后继续处理同一流中的后续包。对于 TCP，效果同 allow。 对于drop这个action TCP协议是否可以实现，丢弃触发规则的包，但会继续处理后续的包这个效果。