[Feature] 增强 Fake IP 模式：在 DNS 劫持为非防火墙转发的选项下，启用端口流量控制与客户端访问限制

[lonecale]

Verify Steps

• Tracker 我已经在 Issue Tracker 中找过我要提出的问题
• Latest 我已经使用最新 Dev 版本查看过，并不包含该功能特性或者还不完善
• Relevant 我知道 OpenClash 与 内核(Core)、控制面板(Dashboard)、在线订阅转换(Subconverter)等项目之间无直接关系，仅相互调用
• Definite 这确实是 OpenClash 应包含的特性
• Contributors 我有能力协助 OpenClash 开发或完善此功能特性
• Meaningless 我提交的是无意义的催促更新或修复请求

Describe the Feature

基于 Redir-Host 模式下已经成功实施的 iptables 和 nftables 精细化网络控制策略，这些控制方法可以有效扩展到 Fake IP 模式。为此，我已通过开发者选项对 IP 和 MAC 地址过滤进行了初步测试，结果证明这种方法是可行的。

因此，我建议在 Fake IP 模式中增加类似的客户端访问控制和端口流量管理策略。尤其是在本地 DNS 劫持为禁用状态下。这样的改进可以提升网络控制的精细度。

Describe Alternatives

No response

[morytyann]

如果想在Fake-IP模式下启用访问控制，必须进行DNS分流，对流量不进核心的客户端（例如黑名单中的设备），它的DNS请求也不能进核心，否则解析到Fake-IP但又不进核心的话，就会无法连接。

显然dnsmasq做不到，在不引入第三方工具（如mosdns）的情况下，使用nftables转发是一个很好的办法。

不过或许可以允许在不劫持DNS的情况下启用访问控制，前提是用户自行分流DNS。

P.S. 其实还有别的办法，譬如通过分流规则将DNS请求导向dns类型的节点，或者开启tun的dns-hijack（大概只在redirect+tun或纯tun下可用，对tproxy无效）