# 核心概念

## 服务模式

UA3F 通过服务模式决定如何接收流量。

| 模式 | 工作方式 | 典型用途 |
| --- | --- | --- |
| `HTTP` | HTTP 代理 | 应用显式配置 HTTP 代理 |
| `SOCKS5` | SOCKS5 代理 | 与 Clash、浏览器或其他代理链路配合 |
| `TPROXY` | netfilter TPROXY | Linux/OpenWrt 透明代理，保留原始目标地址 |
| `REDIRECT` | netfilter REDIRECT | Linux/OpenWrt 透明代理，配置相对简单 |
| `NFQUEUE` | netfilter NFQUEUE | 网络层队列处理，兼容 UA2F 类场景 |

## 重写策略

| 策略 | 行为 |
| --- | --- |
| `GLOBAL` | 所有请求统一改写 `User-Agent` |
| `DIRECT` | 只转发，不重写 |
| `RULE` | 按 `header-rewrite`、`body-rewrite`、`url-redirect` 规则匹配并执行动作 |

生产配置通常使用 `RULE`，这样可以为特定域名、Header、端口或 URL 配置差异化行为。

## 规则匹配

规则从上到下执行。匹配后默认停止继续匹配；设置 `continue: true` 后会继续检查后续规则。

常用匹配类型：

| 类型 | 说明 |
| --- | --- |
| `DOMAIN` / `DOMAIN-SUFFIX` / `DOMAIN-KEYWORD` | 按目标域名匹配 |
| `DOMAIN-SET` | 按域名集合匹配 |
| `IP-CIDR` / `SRC-IP` | 按目标或来源 IP 匹配 |
| `DEST-PORT` | 按目标端口匹配 |
| `HEADER-KEYWORD` / `HEADER-REGEX` | 按 Header 内容匹配 |
| `URL-REGEX` | 按完整 URL 正则匹配 |
| `FINAL` | 兜底规则 |

## 规则动作

| 动作 | 说明 |
| --- | --- |
| `DIRECT` | 直接放行，不重写 |
| `REPLACE` | 替换指定 Header |
| `REPLACE-REGEX` | 替换匹配正则的部分 |
| `ADD` | 添加 Header |
| `DELETE` | 删除 Header |
| `REJECT` | 拒绝请求 |
| `DROP` | 丢弃请求 |
| `REDIRECT-302` / `REDIRECT-307` | 返回 HTTP 重定向 |
| `REDIRECT-HEADER` | 修改请求 Header 完成无感重定向 |

## HTTPS MitM

普通代理只能直接读取明文 HTTP。要改写 HTTPS 的 Header 或 Body，需要启用 `mitm` 并配置目标主机名和 CA。客户端必须信任对应 CA，否则 TLS 握手会失败。

建议仅对确实需要改写的域名启用 MitM，避免扩大证书信任范围。