快连kuailian如何隔离国内外流量并设置分流白名单?
功能定位:为什么必须做流量隔离
2026 年 3 月发布的 v6.3.0 把「动态分流」升级为 3.0 内核,核心变化是把原来只能“全局代理”或“分应用”两种极端模式,拆成域名、IP、进程、端口四条并行规则链。对国内用户来说,这意味着可以把 Netflix、Disney+、Google Scholar 走海外节点,而网银、12306、公司 OA 继续直连,不再频繁切换开关,也避免本地支付被风控。
经验性观察:在 100 M 电信宽带下,把 24 条流媒体域名加入白名单后,峰值下载速度从 3.2 MB/s 提升到 6.8 MB/s,同时本地测速延迟保持 6 ms 不变。样本虽小,但可复现:先清空规则→测速→再加规则→复测,即可验证。
版本演进与兼容边界
v5.x 到 v6.3 的迁移差异
v5.x 只有「分应用」与「分路由」两张表,规则冲突时以后加载者为准;v6.3 改为「先匹配先生效」,并支持反向分流(只代理中国大陆流量)。若你曾导入旧规则,首次升级会弹出「规则冲突」提示,建议选「新建配置」再手动回迁,避免把 0.0.0.0/0 误伤本地网段。
平台差异速览
- Android / Android TV:支持四条维度全开,可调用系统 privacy tool 服务,无需 root。
- iOS / iPadOS:受系统沙盒限制,只能域名+IP,端口与进程灰显;若需端口分流,需用 WireGuard 配置描述文件绕行。
- Windows / macOS:桌面端完整支持,且可把规则导出为 .json,方便 Git 版本管理。
- Linux GUI:目前仅域名与 IP,端口维度标记为「Beta」,官方建议配合 nftables 兜底。
示例:在 Android TV 上同时开四条链,直播 App 走香港节点、NAS 套件直连,4K 秒开且不干扰内网 SMB 传输;同一账号下的 iPhone 却因系统限制,只能把域名规则同步过来,端口规则需手动在 WireGuard 描述文件里补齐。
最短操作路径(分平台)
Android 端示例
- 打开快连 → 底部「分流」→ 右上角「+」→ 选「域名」。
- 输入
netflix.com,勾选「代理」→ 保存。 - 继续点「+」→ 选「进程」→ 找到「企业微信」→ 选「直连」。
- 返回首页,确认顶部开关为「智能分流」而非「全局」。
- 下拉通知栏,点「测速」验证:netflix 节点应显示香港/新加坡,而微信显示「直连」。
iOS 端示例
- 更新至 TestFlight 最新版 → 设置 → Split-Tunneling → 域名规则。
- 点「添加域名」→ 输入
disneyplus.com→ 代理。 - 因端口维度不可写,如需把 443 直连,可在「IP 规则」里把 Disney+ CDN 段设为直连,补偿粒度不足。
- 回到主界面,长按连接按钮→ 选「重新加载描述文件」。
Windows 端示例
- 任务栏图标右键 → 分流中心 → 高级模式。
- 在「进程」标签拖入
chrome.exe→ 代理;拖入wechat.exe→ 直连。 - 点击「导出」保存为
kuailian_rules_backup.json,丢到 OneDrive 做版本追踪。 - 若发现公司内网 192.168.99.0/24 被误代理,在「IP 规则」里加一条 192.168.99.0/24 直连,优先级拉到最顶。
白名单写法与优先级
Split-Tunneling 3.0 的匹配顺序是「域名→IP→进程→端口」,一旦命中即停止。若你既要让 google.com 代理,又想让它在中国大陆 IP 段直连,需要把域名规则拆细:写 google.cn 直连、google.com 代理,否则系统会优先匹配到域名而全部走代理。
提示
规则条数 >200 时,客户端会在后台预编译为 Bloom 过滤器,启动延迟约增加 200 ms;日常用不到百条基本无感。
反向分流:只代理中国流量
海外党反向回国常用场景:看 B 站 4K、听网易云、连国服游戏。操作路径:在「分流」首页把顶部开关切到「反向分流」→ 添加「中国大陆 IP 段」→ 代理;其余默认直连。经验性观察:从加拿大连上海 BGP 节点,B 站缓存峰值能到 8 MB/s,比直连回国提高约一倍,但晚高峰(当地 21:00 后)可能掉到 3 MB/s,需要手动切 IPLC 专线节点。
常见例外与副作用
- 某些银行 App 会校验 DNS 解析 IP 与出口 IP 是否一致,若把域名写「代理」但 IP 写「直连」,会被踢回登录页。解决:把银行域名同时加在「域名」与「IP」两张表,且都选「直连」。
- Windows 端若开启「双栈并发」WireGuard+TUIC,部分老游戏反作弊会把 TUIC 当作异常路由,直接封号。工作假设:游戏进程只识别第一跳网卡名称。缓解:在进程规则里把游戏主程序设为 WireGuard 单栈。
- iOS 更新描述文件后,系统 privacy tool 图标消失,其实是被配置覆盖。处置:设置 → 通用 → privacy tool 与设备管理 → 移除旧描述文件 → 在快连里重新加载。
验证与观测方法
- 客户端内置「实时路由」面板:连接后下拉通知栏即可看到每条请求匹配到的规则名与出口节点。
- PC 端可开
chrome://net-export,抓 30 秒日志,在catapult里打开,验证 Disney+ 域名是否走 tun0。 - Android 用「抓包精灵」无 root 模式,过滤
disneyplus.com,若远端 IP 属于香港 Azure 段,说明规则生效。
适用/不适用场景清单
| 场景 | 建议 | 原因 |
|---|---|---|
| 跨境电商 12 设备共享 | 适用 | 单账号 12 台,规则可导出给同事 Git 合并 |
| 公司强制全局代理审计 | 不适用 | 分流后审计设备看不到真实目标 IP |
| 校园 802.1X 认证 | 谨慎 | TUIC 握手会被拦截,需切 WireGuard 单栈 |
| 国服游戏+外服语音 | 适用 | 进程级分流,游戏直连,语音走香港节点 |
故障排查速查表
现象:国内网站打不开,但国外正常
可能原因:反向分流模式下,把 0.0.0.0/0 误设为代理。处置:在 IP 规则顶端加一条「中国大陆 IP 段」直连,保存后重连。
现象:规则条数空白
可能原因:config.db 损坏。验证:退出客户端,把安装目录下 config.db 重命名为 config.old,重启后重新登录即可恢复。
最佳实践 6 条
- 先写「兜底规则」:127.0.0.1、192.168.0.0/16、10.0.0.0/8 全部直连,避免局域网设备失联。
- 域名用「根域」而非子域,例如写
netflix.com即可覆盖所有子域,减少条目。 - 规则超过 50 条就导出 Git,每次改动 commit,方便回滚。
- 每月月初把审计报告(官网下载)与节点列表比对,删除已下架的冷门节点,避免规则指向空地址。
- 多人共享账号时,用「家庭子账号」功能,主账号只给查看权限,防止误删规则。
- 重要直播前 30 分钟,用「实时路由」面板跑一遍预热,确认 CDN 命中香港/东京节点,再开始推流。
FAQ(结构化数据)
Q1:iOS 无法添加端口规则怎么办?
A:系统限制,只能域名+IP。可把对应 CDN IP 段写在「IP 规则」里,补偿粒度。
Q2:规则条数上限是多少?
A:官方未给出硬上限,经验性观察 800 条以上启动延迟明显;日常 200 条内无感。
Q3:反向分流回国延迟高?
A:晚高峰拥堵时,手动切换到 IEPL 专线节点,可降低 20–40 ms。
Q4:桌面端与手机规则能同步吗?
A:登录同一账号后,在「设置-云端同步」打开「分流规则」,即可跨设备自动拉取。
Q5:银行 App 被踢回登录页?
A:把银行域名同时写在「域名」与「IP」表,且都选「直连」,避免 DNS 与出口不一致。
收尾:下一步行动清单
读完本文,你只需做四件事即可落地:① 把兜底局域网段写成第一条直连;② 用「域名」维度覆盖常用流媒体;③ 导出 .json 到 Git 做版本;④ 用「实时路由」面板抽查 3 次。完成后,本地网银、4K 追剧、外服游戏即可在同一台设备上互不干扰地运行。若后续节点或客户端再升级,记得先读更新日志,确认无规则格式变动再覆盖旧配置,就能持续享受「无感切换」的隔离体验。
未来版本预期:官方路线图提到 2026 Q4 将开放「规则市场」Beta,支持一键订阅第三方维护的流媒体/游戏白名单,并引入「定时切换」功能,按时段自动切换直连与代理,届时可再评估是否把手动维护的 Git 仓库迁移到云端订阅。
