小火箭(Shadowrocket)全局模式与分流模式深度配置指南
理解代理模式的本质
在使用 Shadowrocket(小火箭)这类 iOS 网络代理工具时,"全局模式"(Global Mode)与"分流模式"(Rule/Auto Mode)的选择直接决定了你的网络体验质量、隐私安全级别以及流量消耗效率,这两种模式并非简单的"开"与"关"的区别,而是代表了完全不同的网络流量调度哲学。
本指南将从技术原理、配置逻辑、实战场景三个维度,深度解析这两种模式的差异,帮助你建立科学的代理使用思维。
全局模式:简单粗暴的"全隧道"方案
1 技术原理
全局模式采用"全流量劫持"策略,当开启此模式时,Shadowrocket 会将设备产生的所有 TCP/UDP 流量(除本地局域网流量外)强制路由至代理服务器,无论目标地址是国内还是国外。
工作流程:
App 请求 → Shadowrocket 虚拟网卡拦截 → 全部转发至代理节点 → 远程服务器解析访问2 核心特征
- DNS 解析位置:所有域名解析均在远程代理服务器完成(可能导致国内网站 CDN 调度失效)
- IP 归属地:对外显示统一为代理服务器所在地 IP
- 流量特征:100% 流量经过加密隧道,包括微信、支付宝、银行 App 等国内应用
3 适用场景
- 临时应急:快速测试节点连通性
- 特殊应用:某些不遵循系统代理设置的老旧 App
- 隐私极致需求:需要隐藏真实 IP 地址的敏感操作(但需注意国内 App 的异地登录风险)
4 潜在问题
- 性能损耗:国内网站需"绕路"海外,延迟增加 50-200ms
- 服务异常:网易云音乐、腾讯视频等版权限制服务可能触发地域验证失败
- 流量浪费:不必要的国内流量占用代理服务器带宽配额
分流模式:智能路由的"精细化"方案
1 技术架构
分流模式基于"规则引擎"(Rule Engine)工作,通过预定义的规则集(Rule Set)对流量进行实时分类,实现"该走的走,该留的留"。
决策流程:
流量进入 → 匹配规则列表(域名/IPCIDR/GEOIP)→
├─ 匹配代理规则 → 转发至代理节点
├─ 匹配直连规则 → 直接连接
└─ 匹配阻断规则 → 丢弃连接(去广告)2 规则类型详解
Shadowrocket 支持的分流维度包括:
| 规则类型 | 匹配对象 | 典型应用 |
|---|---|---|
| DOMAIN | 完整域名 | DOMAIN,google.com,PROXY |
| DOMAIN-SUFFIX | 后缀匹配 | DOMAIN-SUFFIX,cn,DIRECT(所有.cn域名直连) |
| DOMAIN-KEYWORD | 关键词匹配 | DOMAIN-KEYWORD,analytics,REJECT(去统计) |
| IP-CIDR | IP 段 | IP-CIDR,192.168.0.0/16,DIRECT(局域网直连) |
| GEOIP | 地理位置 | GEOIP,CN,DIRECT(中国 IP 直连) |
| USER-AGENT | 应用标识 | USER-AGENT,WeChat*,DIRECT |
3 配置策略层级
优先级原则:规则列表自上而下匹配,命中即停止。
推荐配置顺序:
- 局域网与特殊 IP(DIRECT)
- 去广告规则(REJECT)
- 国内域名/IP(DIRECT)
- 代理目标(PROXY)
- 兜底规则(通常设为 DIRECT 或 PROXY)
核心差异深度对比
1 性能与延迟
| 维度 | 全局模式 | 分流模式 |
|---|---|---|
| 国内访问 | 高延迟(绕道海外) | 低延迟(本地直连) |
| 国际访问 | 稳定延迟(全走代理) | 代理节点延迟(仅国外走代理) |
| DNS 解析 | 远程解析(可能慢 100ms+) | 本地/分流解析(优化后更快) |
| 电池消耗 | 较高(全流量加密) | 较低(部分流量直连) |
2 隐私与安全
全局模式优势:
- 彻底隐藏真实 IP,防止 DNS 泄露(DNS Leak)
- 避免 WebRTC 等协议暴露本地 IP
- 统一出口,防止应用后台偷偷上传数据
分流模式风险点:
- 若规则不完善,国内应用可能直接连接暴露真实 IP
- 需要配置 "DNS over HTTPS" 或 "DNS over TLS" 防止 DNS 污染
- 建议开启 "IPv6 禁用" 防止 IPv6 泄露
3 配置复杂度
全局模式:零配置,开启即用,适合新手。
分流模式:
- 基础版:使用订阅链接自动更新规则(如 ConnersHua、lhie1 等规则集)
- 进阶版:手动维护自定义规则,处理特定 App 的代理需求
- 维护成本:需定期更新规则库以应对新域名/IP 段变化
实战配置建议
1 不同用户群体的选择策略
场景 A:轻度用户(仅浏览外网)
- 推荐:分流模式 + 自动规则集
- 配置:开启"自动测试"(URL Test)选择最优节点,国内直连,国外代理
场景 B:开发者/跨境工作者
- 推荐:分流模式 + 精细自定义
- 配置:
- GitHub、Stack Overflow 等开发资源走代理(加速访问)
- 公司内网 IP 段直连
- 阿里云、腾讯云等国内云服务直连
场景 C:隐私敏感用户
- 推荐:全局模式 + 排除国内白名单
- 配置:使用"全局路由"但添加"绕过大陆"(Bypass LAN & China)功能,实质是全局模式下的智能分流
2 分流模式优化技巧
DNS 优化配置:
[General]
dns-server = 223.5.5.5, 119.29.29.29, 8.8.8.8
doh-server = https://dns.alidns.com/dns-query
fallback-dns-server = 1.1.1.1规则优先级实战:
# 2. 国内直连(避免误判)
DOMAIN-SUFFIX,cn,DIRECT
DOMAIN-KEYWORD,baidu,DIRECT
GEOIP,CN,DIRECT
# 3. 代理规则
DOMAIN-SUFFIX,google.com,PROXY
DOMAIN-KEYWORD,youtube,PROXY
FINAL,PROXY # 兜底走代理(或 DIRECT,视需求)常见问题与排查
1 分流模式下国外网站打不开?
- 检查规则是否包含该域名
- 查看日志(Log)确认流量走向
- 尝试临时切换全局模式测试节点可用性
2 全局模式下国内 App 异常?
- 银行类 App 检测到异地登录触发风控
- 视频类 App 版权限制(显示"您所在地区不支持")
- 解决方案:为这些 App 单独配置绕过规则(Per-App Proxy)
3 如何测试当前模式是否泄露 DNS?
- 访问
dnsleaktest.com - 全局模式应只显示代理服务器 DNS
- 分流模式若配置正确,应显示国内 DNS 服务器(查询国内域名时)
没有最好,只有最合适
全局模式是"宁错杀不放过"的保守策略,适合对网络原理不熟悉或极度重视隐私的用户;分流模式是"精准打击"的优化策略,适合追求速度与流量效率的用户。
黄金法则:在 Shadowrocket 中,建议始终使用分流模式作为日常配置,但保留一个"全局模式"的配置副本用于故障排查,通过理解流量走向,你不仅能获得更流畅的网络体验,更能建立起对网络隐私的深层认知——知道哪些数据正在"出国",哪些留在了本地。
代理工具的本质是"控制"而非"逃避",掌握这种控制力,才是使用小火箭的终极意义。
