功能定位:透明代理规则到底解决什么问题
在 Kuailian privacy tool 生态里,透明代理规则(Transparent Proxy Rules)是路由器固件专属的分流引擎:它让局域网设备零配置即可走代理——无需在终端装客户端、改 DNS、配 PAC。流量一经网关,固件按域名、IP 段、端口、进程名四维度自动判决:该直连的直连,该转发的转发,全程对应用层“透明”。
与桌面端 Split-Tunneling 2.0 相比,透明代理规则把决策点前移到路由器,适合:
- Apple TV、Switch 等无法装客户端的设备解锁流媒体;
- 公司开发机批量访问 GitHub、DockerHub,避免逐台配置;
- 家长模式:仅把 53 端口与 UDP 3478-3497 走代理,让 PS5 语音聊天不裸奔。
代价是NAT 层多一次转发,理论延迟增加 1-2 hop;在 100 M 上行以内家用宽带,经验性观察体感差异低于 5 ms。
前置检查:固件版本与硬件准入
透明代理规则只在Kuailian OpenWrt 插件 ≥ 7.3.2 与梅林改版 ≥ 386.14 提供。进入系统状态 → 固件版本,若 Build 号低于上述,请先升级;低于版本时菜单项不会显示,避免误操作。
硬件层面,要求RAM ≥ 128 MB、闪存 ≥ 32 MB。以 MT7621 为例,同时带 20 台终端、启用 38 条规则,CPU 占用约 35 %;若设备为 64 MB 老路由,可能出现规则重载失败,表现为日志行 oom-killer invoked。
最短可达路径:三步启用透明代理规则
OpenWrt 插件版
- PC 浏览器访问路由器管理页(默认 192.168.1.1)。
- 顶部菜单服务 → Kuailian privacy tool → 透明代理,开关拨到启用。
- 页面底部规则模板选“流媒体+海外学术”,点击保存并应用;30 秒后会提示“规则重载成功”。
梅林改版
- 进入privacy tool → Kuailian 客户端 → 透明代理标签页。
- 勾选启用透明代理,模式选基于 nftables(兼容 IPv6)。
- 在自定义规则文本框追加一行:
DOMAIN-SUFFIX,baidu.com,DIRECT,点应用本页设置。
回退方案:若出现断网,立即在同一页面开关拨回关闭,系统会在 10 秒内还原默认防火墙,无需重启路由。
规则语法:四维度写法与优先级
规则自上而下匹配,命中即停止。官方模板采用类 Clash 语法,支持:
| 维度 | 示例 | 说明 |
|---|---|---|
| DOMAIN-SUFFIX | netflix.com,PROXY | 匹配根域及子域 |
| IP-CIDR | 13.107.42.0/24,DIRECT | 支持 IPv4/6 |
| SRC-PORT | 30000-30100,PROXY | 对局域网源端口生效 |
| PROCESS-NAME | Speedtest.exe,DIRECT | 需开启 eBPF 探针 |
经验性观察:把高频国内域名放前面,可减少 nftables 条目数,规则重载时间从 9 s 降至 3 s。
端口绑定:让游戏机与 NAS 互不干扰
透明代理默认劫持整网,但你可以按端口划通道。案例:把 Switch 的 UDP 1024-65535 绑定到“游戏专线”节点,其余设备继续用“流媒体”节点。
操作示例
- 在规则末尾新增:
SRC-IP,192.168.1.88/32,UDP,1024-65535,Game - 在节点策略区把 Game 策略绑定到“东京-02”低延迟节点。
- 保存后,Switch 无需重启,即时生效;可在实时监控页看到 UDP 流量曲线独立成组。
副作用:端口级规则会生成额外 nftables chain,内存占用+2 MB;若老路由仅剩 10 MB 空闲,建议合并为 IP 段而非单端口。
例外与副作用:什么时候不该用
- 公司 802.1X 网络:透明代理需下发证书,与认证服务器冲突,导致循环重认证。
- 双拨叠加宽带:mwan3 与 nftables 并存时,可能出现源地址漂移,部分网站反复跳转登录。
- 本地 NAS 做 PT:规则误把 6881-6889 转发境外,下载速度骤降;务必在规则最前加
IP-CIDR,192.168.0.0/16,DIRECT。
若你仅需要“电脑单独翻墙”,桌面客户端的 Split-Tunneling 更省资源;透明代理的价值在终端不可控场景。
验证与观测:四条命令确认生效
- SSH 路由,执行
nft list chain inet fwmark kuailian_proxy,若能读到counter packets >0,说明流量已被标记。 - 同一局域网的 PC 执行
curl -I https://www.netflix.com,返回 HTTP/2 302 且 location 含/browse,即解锁成功。 - 路由器实时监控 → 节点延迟面板,若看到 192.168.1.88 流量落在“东京-02”节点,端口绑定生效。
- 关闭规则后,counter 停止增长,Netflix 返回代理错误,验证回退可靠。
故障排查:三现象对照表
| 现象 | 可能原因 | 处置 |
|---|---|---|
| 启用后全网断网 | DNS 死循环 | 在规则最前加 IP-CIDR,8.8.8.8/32,DIRECT |
| 国内 App 图片加载慢 | 误匹配 CDN | 把 DOMAIN-KEYWORD,alicdn,DIRECT 提前 |
| 规则重载失败 | 内存不足 | 精简规则或关闭 PROCESS-NAME 探针 |
适用/不适用场景清单
- 家庭影音:✅ 终端多、无法装客户端,Apple TV 解锁 Netflix HDR10+。
- 跨境直播:✅ 把 1935 端口绑定到“直播专线”,OBS 推流延迟稳定。
- 校园网 802.1X:❌ 认证阶段即被 fwmark 干扰,无法拿到 IP。
- IPv6 Only:⚠️ 需确认上级光猫分配 PD,若只给 /64 会导致 nftables 规则不完整。
最佳实践 6 条
- 规则≤200 行,重载时间可控制在 5 s 内。
- 国内 Top 100 域名放最前,减少匹配开销。
- 用 IP-CIDR 替代 DOMAIN 时,优先 /24 以上掩码,减少碎片条目。
- PROCESS-NAME 探针只给游戏电脑开,其余关闭,省 3 MB RAM。
- 每周一次导出规则备份(配置管理 → 导出),升级固件前必做。
- 企业场景开“审计员”角色,避免运维误删规则导致业务断网。
FAQ(结构化数据)
Q:透明代理与客户端 Split-Tunneling 能否同时开?
A:可以并存,但优先级以路由器规则为准;终端客户端的“反向分流”仅对本机生效,不影响其他设备。
Q:规则里写中文域名可以吗?
A:必须转 punycode,如“百度.中国”→xn--fiq228c.xn--fiqs8s;否则 nftables 会报语法错误。
Q:升级固件后规则丢失怎么办?
A:升级前用配置管理 → 导出备份;升级后同一入口导入即可恢复,无需重手敲。
收尾:下一步行动
透明代理规则把“翻墙”决策从终端搬到网关,一次性解决 Apple TV、游戏机、NAS 等设备的出海需求。按本文三步启用后,记得用 nft counter 与 curl 双重验证;出现断网先关开关,再查 DNS 循环与内存。规则数控制在 200 行以内、国内域名置前、每周备份,即可长期稳定运行。
若你的场景仅是电脑单独加速,桌面端 Split-Tunneling 更轻量;一旦终端不可控,再回到路由器开启透明代理,两条路径互补,才能把 Kuailian privacy tool 的 200+ 节点真正用到位。
📺 相关视频教程
【打造最强软路由】Clash的继任者Mihomo强在哪里 | RouterOS中安装Mihomo详解 | 设置透明代理零DNS泄露|机场和VPS的最佳伴侣(Clash、RouterOS、Mihomo)
