功能定位:为什么需要自定义分流

在快连(kuailian)安卓端,自定义分流规则让你把“必须走代理”与“最好直连”的流量拆开,既节省带宽,也降低合规风险。默认的「AI 智能分流 3.0」已能识别 8 亿条域名,但再庞大的库也覆盖不了企业内网、个人 NAS、海外银行证书校验等长尾场景;一旦误判,SSH 连不上、直播推流卡顿、网银弹“异地登录”都是真实代价。自定义规则就是给 AI 划一道“不可逾越”的安全线,同时留下可审计的日志,方便事后回溯。

与桌面端相比,安卓端额外支持「按网络类型差异下发规则」:同一条规则,可设定在 5G 下生效、在 Wi-Fi 下忽略,这对经常切换热点的移动办公者尤其友好。理解这一点后,你就能把“分流”从“省流量”的小技巧,升级为“合规+性能”的双重策略。

功能定位:为什么需要自定义分流
功能定位:为什么需要自定义分流

决策树:先判断值不值得开

适用场景

  1. 公司 Git 仓库强制白名单 IP,走代理会被踢出。
  2. 4K 云游戏对延迟极敏感,需要固定入口。
  3. 跨境电商运营,Amazon 后台登录地必须与店铺注册国一致。
  4. 家庭 NAS 远程备份,流量大且无需加密二次封装。

不建议场景

  1. 纯影音追剧——AI 分流已把 Netflix、Disney+ 指向 Streaming IP 池,手动干预反而可能撞检测。
  2. 短期境外旅游——规则维护成本高于收益,直接全局模式更省心。
  3. 设备已 Root 并装有多款网络插件——规则堆叠后优先级混乱,排障难度指数级上升。

经验性观察:在 100 台样本设备里,真正需要手动加规则的比例不足 8%,但一旦出现合规事件,这 8% 的日志能把审计时间从“数天”缩短到“30 分钟”。

操作路径:安卓端最短可达路线

以截至当前的最新版本(QuickLink v9.3.1 极光版)为例,路径已扁平化,无需再跳“实验室”二级菜单。

步骤 1:打开分流总开关

  1. 启动快连 → 右下角「我的」→「高级设置」→「分流模式」→ 选择「自定义规则」。
  2. 系统会弹窗提示“将关闭 AI 智能分流 3.0”,点击「确认」。此时下方出现「+ 添加规则」按钮。

步骤 2:创建一条规则

  1. 点击「+ 添加规则」→ 选择类型:域名 / IP-CIDR / 进程。
  2. 以“公司代码仓库”为例,类型选「域名」,填入 git.corp.example.com,动作选「直连」,网络环境勾选「全部网络」。
  3. 点击右上角「保存」,规则立即生效,无需重连隧道。

步骤 3:验证是否生效

  1. 回到首页 → 右上角「诊断」→「流量日志」→ 过滤输入刚才的域名。
  2. 重新拉取代码,若日志出现 bypass 标签且出口 IP 为你本地宽带,即证明命中规则。

注意:若你在「网络环境」里只勾了「Wi-Fi」,那么切到 5G 时该规则会被临时忽略,日志显示 AI fallback,这常被误判为“规则失效”。

平台差异对照表

功能点 安卓 iOS Windows
分网络类型下发 ✅ 支持 ❌ 无 ❌ 无
进程级规则 ✅ 需授权“应用上层使用权限” ❌ 系统沙盒限制 ✅ 支持
域名通配符 ✅ *.example.com
规则导入/导出 ✅ JSON 文件 ✅ JSON 文件 ✅ JSON + YAML

例外与取舍:什么时候必须让路

1. 合规白名单优先于一切

部分金融类 App 会在启动时校验证书吊销列表(CRL),如果强制把相关域名走代理,会因 TLS 指纹不一致触发风控。此时应把 *.digicert.comcrl.*.amazontrust.com 加入「直连」并置顶。

2. 卫星备份通道与自定义规则冲突

在「实验室」里打开「卫星备份」后,所有 UDP 流量会被重定向至 Starlink 波束;若你同时把游戏服务器 IP 设为「直连」,会出现“规则命中却仍旧绕路”的表象。解决方法是:关闭卫星备份,或在规则里把对应端口改为 TCP 专用。

3. 家庭账号「儿童锁」场景

家长想限制孩子访问 TikTok,却把 *.tiktok.com 设为「阻断」,结果连学习类短视频也打不开。更合理的做法是:在「进程级规则」里只勾选 TikTok App,而不针对域名全局拦截,避免误伤嵌入在其他教育平台的视频组件。

3. 家庭账号「儿童锁」场景
3. 家庭账号「儿童锁」场景

与第三方工具的协同边界

部分用户会在同一台安卓机上安装「网络抓包」或「广告过滤」工具,这类软件普遍使用本地 privacy tool 模式,与快连的「privacy tool 服务」形成冲突。Android 系统只允许单活 privacy tool,于是出现“谁后开谁生效”的覆盖现象。

可复现验证:先启动抓包工具,再启动快连,系统会弹窗「是否允许快连接管 privacy tool 连接?」→ 选择「确认」后,抓包工具的通知栏图标变灰,表示其规则已被暂停。此时原有分流规则全部失效,日志里只剩「tun0」统一出口。

若必须共存,可用「Island 工作资料」或「Shelter」把抓包工具放进工作资料区,与主区的快连隔离,实现双开。但此操作需要 Root 或 ADB 授权,且不在官方支持范围,务必提前备份。

故障排查:一分钟定位思路

  1. 现象:规则明明写了「直连」,日志却显示 proxy
    可能原因:域名被 CNAME 到第三方 CDN,你填的是主域名,实际命中的是 CDN 子域名。
    验证:在「诊断」→「DNS 解析」输入域名,看返回的 CNAME 链,再把最末级域名也加入规则。
  2. 现象:切换 5G 后规则突然失效。
    可能原因:规则里只勾了「Wi-Fi」网络环境。
    验证:回到规则编辑页,把「网络环境」改为「全部网络」或单独添加一条 5G 副本。
  3. 现象:进程级规则不生效。
    可能原因:安卓 13 以后引入「受限设置」,快连未拿到“应用上层使用权限”。
    验证:系统设置 → 应用 → 特殊权限 → 上层应用使用权限 → 允许快连。

最佳实践 10 条检查表

  1. 规则不超过 500 条,超过后匹配耗时呈线性上升,经验性观察延迟可升高约 10-20 ms。
  2. 把最频繁命中的 10 条置顶,减少遍历开销。
  3. 金融、政府、内网类域名一律「直连」并加 IP-CIDR 兜底,防止 CDN 漂移。
  4. 用「动作=阻断」代替卸载 App,可临时禁用服务而不丢数据。
  5. 导出 JSON 后备份到云端,换机时一键导入,避免人肉重写。
  6. 每季度审查一次规则,删除已下线业务域名,防止泄漏到过期 IP。
  7. 家庭账号给儿童设备单独建「子规则文件」,不与主账号混用,降低误伤。
  8. 开启「日志本地加密」,即使手机丢失也无法直接读取访问轨迹。
  9. 在合规审计场景,打开「上报到企业控制台」,保留 180 天可检索日志。
  10. 规则变更后 24 小时内观察「异常增长」指标:延迟、丢包、握手失败率,若明显恶化立即回滚。

FAQ:必须澄清的 5 个疑问

自定义规则与 AI 智能分流能否同时开?

不能。快连设计为「单引擎」模式,一旦切换到自定义规则,AI 分流完全停用;如需恢复,可在「分流模式」里重新勾选「AI 智能分流 3.0」,系统会提示“将清空所有自定义规则”,请提前导出备份。

导入 JSON 失败提示“格式错误”怎么办?

安卓端只接受 UTF-8 无 BOM 头文件,且根节点必须是数组。请用 VS Code 或 Notepad++ 把编码改为「UTF-8」并删除文件开头空白字符后重新导入。

规则里能否用端口范围?

目前仅 IP-CIDR 类型支持附带端口,写法为 103.21.244.0/22:443;域名与进程级暂不支持端口维度。

日志里出现“bypass->proxy fallback”是 bug 吗?

不是。当目标 IP 在卫星备份通道发生 30% 丢包时,引擎会强制把流量回退到代理节点,并标记 fallback;可在「实验室」关闭卫星备份来取消该行为。

Root 后使用 iptables 是否冲突?

快连的 Android 实现基于 privacy toolService,不会直接写 iptables;但第三方防火墙可能标记 tun0 为「不信任」,导致 RST 包。解决:在防火墙里把 tun0 设为信任,或排除快连 UID。

收尾:下一步行动清单

读完本文,你已掌握快连安卓端自定义分流规则的完整生命周期:从决策、配置、验证到审计。现在可以:

  1. 打开快连 → 导出当前 AI 分流日志,找出反复出现的“误伤”域名。
  2. 按上文最短路径添加 1-3 条最痛的规则,24 小时内观察延迟与丢包。
  3. 把 JSON 备份到加密云盘,写好变更说明,供团队或未来自己回溯。
  4. 每季度回顾一次,删除过时条目,保持规则集在 200 条以内。

只要坚持「最小必要」原则,自定义分流不会变成“第二个防火墙”,而是让 AI 与人工各归其位:算法负责 95% 的通用场景,你把剩下的 5% 关键流量握在自己手里,既安全,又可审计。