请教一个透明代理模式下TCP流量Bypass的问题

[tardis-fang]

配置文件如下，使用的是透明代理模式，通过iptables把所有子网tcp流量转到10001端口，dns请求单独由其他服务（coredns）处理。
现在的问题是，mqtt的流量会从chain-0中的代理服务器绕路，bypass规则不生效。这里猜测原因是客户解析了mqtt服务域名进而用ip连接，所以bypass无法识别。
暂时的解决方案是把mqtt的ip写进bypass列表，但这看起来不够优雅，因为ip可能会变。

想问下有没有什么优雅的解决方案，或者强大的gost还有其他我遗漏未使用的功能可以满足这个需求？

services:
- name: service-0
  addr: :10001
  handler:
    type: red
    chain: chain-0
    metadata:
      sniffing: true
      sniffing.timeout: 5s
      tproxy: true
  listener:
    type: red
    metadata:
      tproxy: true
chains:
- name: chain-0
  hops:
  - name: hop-0
    bypass: bypass-0
    sockopts:
      mark: 100
    nodes:
    - name: node-0
      addr: 12.34.56.78:1080
      connector:
        type: socks5
        auth:
          username: user
          password: pass
      dialer:
        type: tcp
bypasses:
- name: bypass-0
  matchers:
  - 192.168.0.0/16
  - mqtt.myservice.com

[ginuerzh]

流量嗅探(sniffing)仅支持从HTTP，TLS等协议请求中获取到目标访问域名，MQTT协议中没有相关信息。
如果可行，可以尝试使用TLS传输，有可能解析出域名信息。

[tardis-fang]

流量嗅探(sniffing)仅支持从HTTP，TLS等协议请求中获取到目标访问域名，MQTT协议中没有相关信息。 如果可行，可以尝试使用TLS传输，有可能解析出域名信息。

感谢解答，这个tls是指mqtt自身的tls加密是吗？
另外，请问bypass可以实现一个动态解析域名成ip的功能吗？或者可以使用插件来做到吗？ 举个例子：

bypasses:
- name: bypass-0
  type: cidr
  matchers:
  - 192.168.0.0/16
- name: bypass-1
  type: domain
  matchers:
  - http.myservice.com
- name: bypass-2
  type: autoresolv
  matchers:
  - mqtt.myservice.com