Shadowrocket 完全配置指南:iOS 网络代理进阶实战手册
Shadowrocket(俗称"小火箭")是 iOS/iPadOS 平台上功能最完善的网络代理客户端,其核心价值在于规则分流系统与脚本扩展能力的完美结合,不同于简单的 VPN 应用,它通过基于域名的智能路由、URL 重写、JavaScript 脚本注入等机制,实现了精细化的网络流量管理。
技术架构特点:
- 支持协议:Shadowsocks、ShadowsocksR、VMess、VLESS、Trojan、Hysteria 等主流协议
- 代理模式:全局代理、自动分流、直连模式三级切换
- 规则引擎:支持 DOMAIN、IP-CIDR、GEOIP、USER-AGENT 等多维度匹配
- 扩展能力:JavaScript 脚本、MitM 证书解密、URL Rewrite 重写规则
获取与初始化配置
安装渠道(合规提示)
由于地区政策限制,Shadowrocket 仅在某些地区的 App Store 上架,用户需通过已购项目共享或外区 Apple ID 获取(当前售价约 $2.99)。重要提醒:请通过官方渠道购买,避免使用来路不明的共享账号导致隐私泄露。
首次启动权限配置
安装后首次打开需完成三项系统授权:
- VPN 配置权限:创建系统级 VPN 接口(状态栏显示 VPN 图标)
- 通知权限:用于显示节点延迟测试结果
- 后台 App 刷新:确保规则更新和节点连通性检测在后台运行
节点配置详解
手动单节点配置(适合自建服务器)
- 点击右上角 进入添加界面
- 选择对应协议类型(以 VMess 为例):
- 服务器:填写 IP 或域名(支持 IPv6)
- 端口:服务端监听端口
- UUID:用户身份标识(VMess/VLESS 必需)
- 加密方式:Auto 或指定 AES-128-GCM 等
- 传输层:TCP/WebSocket/gRPC 等,需与服务器一致
- TLS:开启后配置 SNI 域名和证书验证
关键参数说明:
- Mux(多路复用):建议开启,减少 TCP 连接数提升性能
- UDP 转发:游戏或视频通话需开启,但可能增加耗电
订阅配置(推荐)
- 首页点击 "订阅" → "添加订阅"
- 粘贴订阅链接(URL Scheme),支持自动更新
- 高级设置:
- 自动更新:建议设置为 24 小时间隔
- 备份名称:防止订阅失效后配置丢失
规则系统深度配置(核心功能)
Shadowrocket 的强大之处在于基于规则的分流策略,这是区别于普通 VPN 的关键。
规则类型解析
进入 "配置" → "default.conf" → "编辑配置" → "规则":
| 规则类型 | 语法示例 | 适用场景 |
|---|---|---|
| DOMAIN | DOMAIN,google.com,Proxy |
精确域名匹配 |
| DOMAIN-SUFFIX | DOMAIN-SUFFIX,google.com,Proxy |
匹配所有子域名 |
| DOMAIN-KEYWORD | DOMAIN-KEYWORD,google,Proxy |
关键词模糊匹配 |
| IP-CIDR | IP-CIDR,142.250.0.0/16,Proxy |
IP 段路由 |
| GEOIP | GEOIP,CN,DIRECT |
国家代码路由 |
| USER-AGENT | USER-AGENT,Netflix*,Proxy |
应用特征匹配 |
分流策略实战配置
推荐策略架构:
局域网/国内直连:IP-CIDR,192.168.0.0/16,DIRECT 与 GEOIP,CN,DIRECT
2. 广告拦截:DOMAIN-SUFFIX,googleadservices.com,REJECT
3. 流媒体分流:DOMAIN-SUFFIX,netflix.com,US-Node(指定节点)
4. 兜底规则:FINAL,Proxy(未匹配流量走代理)配置技巧:
- 使用 "配置模板" 导入社区维护的规则集(如 ConnersHua、DivineEngine)
- 通过 "测试规则" 功能验证特定域名走的线路(路径:工具→规则测试)
高阶功能:脚本与重写
HTTP 重写(Rewrite)
用于修改 HTTP 请求/响应,常见于:
- 去广告:重写广告图片地址为透明像素
- 解锁区域限制:修改请求头中的 X-Forwarded-For
- 美化:去除网页多余元素
配置路径:配置 → 编辑配置 → 重写 → 添加规则
语法:^https?://example.com/ad.js _ reject
JavaScript 脚本(MitM 必需)
实现更复杂的逻辑处理,如自动签到、VIP 破解(存在法律风险,仅建议学习使用)。
启用步骤:
- 安装 MitM 证书:设置 → 证书 → 生成并安装 → 系统设置中信任
- 开启 MitM 开关:配置 → 编辑配置 → HTTPS 解密 → 启用
- 添加脚本:配置 → 编辑配置 → 脚本 → 添加(需指定匹配 URL 和脚本路径)
脚本示例结构**:
// 修改响应体示例
var body = $response.body;
var obj = JSON.parse(body);
obj.vip = true;
$done({body: JSON.stringify(obj)});
性能优化与省电策略
连接优化
- TCP Fast Open:设置 → 高级 → 开启 TFO(减少握手延迟)
- IPv6 优先:若服务器支持 IPv6 可开启,否则建议关闭避免超时
- 多路复用阈值:设置为 10-20 条连接,平衡速度与资源占用
省电配置
- 按需连接:设置 → 按需连接 → 选择"自动"(根据网络环境自动启停)
- 后台策略:关闭不必要的"后台 App 刷新"或设置仅 Wi-Fi 下刷新
- 日志级别:设置为"错误"而非"详细",减少磁盘写入
延迟测试优化
- 测试方法:ICMP Ping(速度快但可能被服务器拒绝)vs TCP 握手(准确但慢)
- 自动选择节点:开启"自动切换"功能,设置延迟阈值(如 >300ms 自动切换)
故障排查与诊断
常见问题解决流程
问题 1:连接成功但无法上网
- 检查系统时间(VMess 协议对时间敏感,误差需 <90 秒)
- 测试 DNS 解析:工具 → DNS 查询,查看是否返回正确 IP
- 检查规则冲突:查看日志(工具 → 日志)确认流量被 REJECT 或 DIRECT
问题 2:特定 App 无法连接
- 可能是 UDP 转发问题:尝试开启"UDP 转发"或切换为 TCP 协议
- 检查 USER-AGENT 规则是否误拦截
- 尝试"全局代理"模式排除规则问题
问题 3:耗电异常
- 查看"设置 → 高级 → 活动日志",检查是否有频繁重连
- 关闭"兼容性模式"(除非特定应用需要)
- 减少节点数量(过多节点会增加后台检测耗电)
诊断工具使用
- 连通性测试:首页长按节点 → 测试 TCP 延迟
- 路由追踪:工具 → Ping → 输入域名,查看在哪一跳超时
- 流量分析:设置 → 统计,查看各应用流量占比
安全与合规建议
隐私保护措施
- DNS 配置:建议使用 DoH(DNS over HTTPS)如
https://dns.google/dns-query,防止 DNS 劫持 - 日志管理:定期清理连接日志(设置 → 高级 → 清除日志)
- 证书安全:仅安装可信来源的 MitM 证书,避免中间人攻击风险
合规使用边界
- 企业环境:遵守公司网络安全政策,避免在受管设备上安装未授权 VPN
- 公共 Wi-Fi:开启 Shadowrocket 可有效防御公共网络嗅探,但需注意敏感操作仍建议使用独立加密通道
- 法律风险:仅将工具用于合法的网络加速与隐私保护目的,遵守《网络安全法》及相关地区法规
备份与迁移策略
配置导出
- iCloud 同步:开启后可自动跨设备同步配置(设置 → 同步 → iCloud)
- 配置文件导出:长按配置 → 分享 → 生成二维码或复制配置文本(含节点信息,注意隐私安全)
跨设备迁移
- 快捷指令自动化:结合 iOS 快捷指令,实现根据位置自动切换节点(如到家切换为直连模式)
- 小组件配置:iOS 14+ 可添加 Shadowrocket 小组件,快速查看流量和切换节点
Shadowrocket 作为 iOS 生态中代理工具的标杆,其价值不仅在于连接能力,更在于精细化的流量治理思维,通过合理的规则配置,用户可以在隐私保护、访问效率与电池续航之间找到最佳平衡点,建议定期关注官方更新日志,新版本通常会带来协议支持更新(如最近新增的 Reality 协议支持)和性能优化。
技术提醒:网络代理工具的配置具有时效性,服务器协议和客户端版本迭代较快,建议每季度审查一次规则集的有效性,及时清理失效节点和过期脚本。
