导读:
Shadowrocket 深度使用指南:从入门到精通
工具概述与准备
1 什么是 Shadowrocket
Shadowrocket(俗称"小火箭")是 iOS/iPadOS/macOS 平台上一款功能强大的网络代理工具,支持 Shadowsocks、ShadowsocksR、VMess、VLESS、Trojan、Hysteria 等多种协议,不同于简单的 VPN 应用,它提供了基于规则的分流系统、脚本支持、HTTPS 解密等高级功能,是 power user 管理网络流量的利器。
平台限制:仅支持 Apple 生态(iPhone/iPad/Apple Vision Pro/Mac),需 iOS 12.0 或更高版本。
获取方式:App Store 付费下载(约 $2.99),需使用非中国大陆 Apple ID(美区、港区等)。
初始配置与节点导入
1 界面导航
首次启动后,底部导航栏包含四个核心模块:
- 首页:连接开关、延迟测试、当前节点信息
- 配置:路由规则、脚本、重写等高级设置
- 代理:节点列表与管理
- 设置:DNS、证书、日志等系统级配置
2 节点添加方式
方式 A:订阅链接导入(推荐)
- 获取服务商提供的订阅链接(通常以
https://开头,包含sub或subscribe字样) - 点击右上角 → 选择 "Subscribe"(订阅)
- 粘贴 URL → 保存 → 下拉刷新节点列表
- 注意:若链接被屏蔽,尝试开启"自动更新"并修改 User-Agent 为
clash或shadowrocket
方式 B:手动配置
- Shadowsocks:填入服务器地址、端口、密码、加密方法(推荐 AES-256-GCM)
- VMess/VLESS:需填写 UUID、AlterID(通常为 0)、传输协议(TCP/WS/gRPC)
- Trojan:仅需密码和服务器信息,TLS 自动开启
方式 C:二维码扫描 点击右上角扫码图标,扫描节点分享二维码(支持 ss://、vmess://、trojan:// 等 URI 格式)。
路由规则与分流策略(核心进阶)
Shadowrocket 的强大之处在于基于规则的分流系统,可精确控制哪些流量走代理,哪些直连。
1 规则类型解析
进入 "配置" 标签页,点击默认配置旁的 "i" 图标编辑:
-
DOMAIN-SUFFIX(域名后缀匹配)
- 例:
DOMAIN-SUFFIX,google.com,PROXY表示所有 google.com 子域名走代理
- 例:
-
DOMAIN-KEYWORD(关键词匹配)
- 例:
DOMAIN-KEYWORD,ad,REJECT用于广告拦截
- 例:
-
IP-CIDR(IP 段匹配)
- 例:
IP-CIDR,192.168.0.0/16,DIRECT局域网直连
- 例:
-
GEOIP(国家代码)
- 例:
GEOIP,CN,DIRECT中国大陆 IP 直连
- 例:
-
FINAL(兜底规则)
- 必须存在一条,建议设置为
FINAL,PROXY或FINAL,DIRECT
- 必须存在一条,建议设置为
2 配置建议
场景 1:回国模式(海外用户访问国内资源)
GEOIP,CN,PROXY
FINAL,DIRECT场景 2:大陆白名单(国内直连,其他代理)
GEOIP,CN,DIRECT
FINAL,PROXY场景 3:精确分流(推荐)
# 国内直连
DOMAIN-SUFFIX,cn,DIRECT
GEOIP,CN,DIRECT
# 微软服务可选走代理或直连
DOMAIN-SUFFIX,microsoft.com,PROXY
# 兜底
FINAL,PROXY3 规则优先级
规则按从上到下顺序匹配,一旦匹配成功即停止检查,建议顺序:
- 局域网/本地地址(DIRECT)
- 广告拦截(REJECT)
- 特定域名指定策略
- 地理 IP 规则
- 兜底规则
高级功能实战
1 脚本系统(Script)
支持 JavaScript 编写自定义逻辑,可实现复杂分流或请求修改。
启用步骤:
- 配置页 → "添加脚本"
- 设置匹配类型(如 URL 正则)
- 编写脚本,例如修改请求头、重定向等
常见用途:
- 解锁流媒体区域限制
- 去除应用内广告
- 自定义 DNS 解析逻辑
2 HTTPS 解密(MitM)
用于抓取 HTTPS 流量或去除特定广告,需安装证书:
- 设置 → "证书" → "生成新的 CA 证书"
- 安装描述文件(系统设置 → 通用 → VPN 与设备管理)
- 关键步骤:设置 → 通用 → 关于本机 → 证书信任设置 → 开启 Shadowrocket 证书完全信任
- 在配置中启用 "解密 HTTPS 流量"
⚠️ 安全警告:仅对可信节点开启,公共 WiFi 环境下慎用中间人攻击功能。
3 按需求连接(On-Demand)
iOS 专属功能,实现智能触发:
- 设置 → "按需求连接"
- 可设置当特定 App 打开时自动开启代理
- 或根据 Wi-Fi SSID 自动切换(如公司网络自动关闭,蜂窝数据自动开启)
DNS 与连接优化
1 DNS 配置
进入 "设置" → "DNS":
推荐配置:
- DoH/DoT:使用
https://dns.alidns.com/dns-query(阿里)或https://doh.pub/dns-query(DNSPod)防止 DNS 污染 - 备用 DNS:8.8.8.8, 1.1.1.1
- 启用 DNS over HTTPS:防止本地 DNS 泄露
2 延迟测试与节点选择
- 首页 → 点击右上角闪电图标进行 TCP 延迟测试(非 ICMP ping)
- 策略组:可创建自动选择组(URL-Test),设置测试间隔(如 300 秒),自动选择延迟最低节点
- 故障转移:配置 Fallback 组,主节点失效时自动切换备用
Mac 版特有功能
macOS 版本(需单独购买或通过 iOS 购买后下载)支持:
- TUN 模式:代理所有流量(包括不遵循系统代理的应用)
- 快捷键:快速切换节点/开关
- 菜单栏图标:实时显示流量速度
- Surge 配置兼容:可导入 Surge 格式的配置文件
故障排查与日志
1 无法连接排查流程
- 检查节点状态:首页延迟测试是否显示数字(非 timeout)
- 检查规则:是否误将目标域名设为 DIRECT
- 查看日志:设置 → 日志 → 实时查看连接记录,查找
failed或error- DNS 测试:尝试切换 DNS 为 8.8.8.8 排除解析问题
- 协议兼容性:确认服务端与客户端加密方式、传输协议(WebSocket/gRPC)配置一致
2 常见问题
- 部分 App 无法代理:检查是否使用 TUN 模式(iOS 需开启"转发流量"),或该 App 使用私有 DNS
- 电池消耗快:减少日志记录级别,关闭不必要的脚本
- 订阅更新失败:检查 URL 是否含特殊字符,尝试 URL 编码或更换网络环境
安全与合规建议
- 证书安全:定期更新 CA 证书,不使用时关闭 HTTPS 解密
- 节点来源:仅使用可信服务商提供的节点,避免使用来路不明的免费节点(存在中间人攻击风险)
- 日志隐私:定期清理连接日志,敏感操作后关闭日志记录
- 法律合规:请遵守当地法律法规,本工具仅用于技术学习、隐私保护等合法用途,不得用于非法跨境网络活动
配置备份与迁移
- iCloud 同步:开启后可跨设备同步节点和配置(需相同 Apple ID)
- 配置文件导出:长按配置 → 分享 → 导出为
.conf文件 - 二维码分享:长按节点 → 分享 → 生成二维码(注意隐私,勿随意分享)
通过合理配置路由规则与策略组,Shadowrocket 可实现近乎无感的智能分流体验,建议新手从订阅模式入门,逐步学习规则编写,最终搭建完全符合个人使用习惯的网络环境。
