痛点导入:为什么只想代理终端
在 macOS 上运行ssh、git、homebrew时,我们往往只需要让终端走海外线路,而微信、钉钉、网银等国内 App 仍直连。快连 privacy tool 默认的「全局模式」会把全部流量送进隧道,结果看内网 NAS 变慢、视频会议卡顿,甚至网银提示「环境异常」。本文给出一条「仅代理终端」的可复现路径,基于快连 v6.4.0 正式版,不额外安装第三方工具,也不触碰系统根证书。
功能定位:进程级分流与 SOCKS5 本地栈
快连在 macOS 端提供两条技术路线:①「进程级分流(Split-Tunneling)」直接让指定二进制走 privacy tool;②「本地 SOCKS5 栈」把 privacy tool 入口转成 127.0.0.1 端口,终端自己export ALL_PROXY=socks5://127.0.0.1:1080即可。前者对新手零命令,后者对脚本化更友好;下文先给「进程级分流」的图形操作,再给出「SOCKS5」命令行版,方便按场景取舍。
路线对比表
| 维度 | 进程级分流 | SOCKS5 本地栈 |
|---|---|---|
| 配置入口 | 客户端图形界面 | 客户端「高级设置」+ 环境变量 |
| 对系统根证书 | 无改动 | 无改动 |
| 终端零命令 | ✅ | ❌(需 export) |
| 支持 IPv6 | ✅ | ✅ |
| Kill-Switch 兜底 | ✅ | 仅对 privacy tool 网卡生效,SOCKS5 进程需手动退出 |
决策树:30 秒选对路线
- 只是偶尔让
git clone、brew update走海外?→ 选「进程级分流」,图形勾选即可。 - 需要脚本批量跑 CI、打包机无人值守?→ 选「SOCKS5 本地栈」,一行
export就能写进 Makefile。 - 公司合规要求「一旦 privacy tool 掉线立即断网」?→ 优先「进程级分流」,Kill-Switch 会强制把指定进程流量掐掉;SOCKS5 模式需额外写脚本检测端口存活。
操作 1:进程级分流(图形界面)
步骤
- 打开快连客户端,确认顶部模式切换到「分流模式」。若显示「全球模式」则点击切换。
- 侧边栏进入「分流设置 → 进程列表」,点击「+」。
- 在弹出的 Finder 窗口中,按快捷键
⇧⌘G,输入/usr/bin/,选中ssh、git、curl等可执行文件;若用 Homebrew 版,路径通常是/opt/homebrew/bin/git。 - 右侧「动作」列保持默认「走 privacy tool」;下方勾选「启用 Kill-Switch」。
- 点击「保存」,返回主界面,确认节点已连接即可。
验证
打开终端执行curl ipinfo.io,应显示海外出口;再执行ping 192.168.1.1(内网网关),延迟应低于 3 ms,证明本地流量未进隧道。若 Kill-Switch 生效,可手动断开 privacy tool 再curl,命令会卡死直至超时,不会泄露真实 IP。
注意
macOS 11 以后对/usr/bin下系统二进制做了 SIP 保护,快连无法注入其流量。解决:在「进程列表」里把/usr/bin/git换成 Homebrew 路径即可,因为 Homebrew 路径不在 SIP 限制范围。
操作 2:SOCKS5 本地栈(命令行)
步骤
- 快连主界面 → 右上角「⚙」→「高级设置」→ 勾选「启用本地 SOCKS5 代理」,默认端口 1080。
- 连接任意节点,看到日志出现
SOCKS5 listen on 127.0.0.1:1080即成功。 - 在
~/.zshrc或~/.bash_profile追加:alias setproxy="export ALL_PROXY=socks5://127.0.0.1:1080" alias unsetproxy="unset ALL_PROXY"
- 重开终端,执行
setproxy,再git clone即可。
边界与副作用
SOCKS5 模式不会强制 Kill-Switch;若 privacy tool 掉线,端口消失,但终端应用可能阻塞或回退到直连,取决于软件自身逻辑。经验性观察:Homebrew 默认无回退,会卡死;而curl在 7.8x 以上版本会尝试解析 A 记录直连,存在泄露风险。缓解:写一行循环检测端口,端口消失即killall brew。
例外规则:让国内域名永远直连
无论哪种路线,都建议把公司内网、网银、视频站点加入「直连」白名单,避免 AI 分流误判。快连 v6.4.0 在「分流设置 → 域名规则」里已内置「大陆主流站点」模板,一键导入即可。若你使用 SOCKS5,也可在终端层用export NO_PROXY=*.aliyun.com,10.0.0.0/8实现更细粒度控制。
故障排查:终端仍走直连?
- 确认进程路径正确:终端执行
which git,对照快连列表里填的路径是否完全一致。 - 检查 SIP:若路径在
/usr/bin且 macOS ≥11,需改用 Homebrew 版。 - 确认 Kill-Switch 开启:断开 privacy tool 后
curl应超时,否则说明规则未生效,可重启客户端或重装虚拟网卡驱动(官方 KB601)。 - SOCKS5 端口被占:执行
lsof -i:1080,若被其他代理占用,可在「高级设置」改端口为 11080。
适用/不适用场景清单
- ✅ 外贸运营:仅需终端
git push到 GitHub,国内微信语音不卡。 - ✅ 科研 CI:打包机每日凌晨跑
brew upgrade,用 SOCKS5 脚本无人值守。 - ❌ 全机审计:公司要求「任何流量不得泄露真实 IP」,请回退到「全球模式」并打开 Kill-Switch。
- ❌ 老版本 macOS:10.13 以下内核缺失 Network Extension 框架,无法使用进程级分流,只能 SOCKS5。
最佳实践 5 条
- 首次配置完,用
curl ipinfo.io与ping 路由器双验证,确保「该走的走,该留的留」。 - 把 Homebrew 安装目录全部加入「进程列表」,避免日后升级路径变动。
- 开启「自动启动+自动连接」,防止重启后忘记开代理导致脚本失败。
- 每月检查一次「大陆域名」模板更新,防止新 CDN 节点被误判。
- 若团队多人共用配置,可导出
.qklcf规则文件,通过企业微信钉盘下发,一键导入。
FAQ(FAQPage Schema)
进程级分流对 Apple 自带二进制无效?
macOS 11 起 SIP 会阻止注入系统目录二进制,解决:用 Homebrew 重装同名工具,并在快连列表里填 Homebrew 路径。
SOCKS5 端口消失怎么办?
多为 privacy tool 掉线或端口冲突,先检查日志;若被占用,在「高级设置」里把 1080 改成 11080 并重启客户端即可。
Kill-Switch 会掐掉局域网吗?
不会。Kill-Switch 只针对「被勾选走 privacy tool 的进程」生效,未勾选进程仍可正常访问 192.168.0.0/16 等内网段。
能否只代理 zsh 而不代理 bash?
进程级分流按二进制路径识别,若 zsh 与 bash 都指向同一可执行文件则无法区分;可用 SOCKS5 模式,在各自 rc 文件里选择性 export。
规则导入后客户端崩溃?
经验性观察:规则文件若包含非 UTF-8 中文会触发解析错误。用 VS Code 把编码改为 UTF-8 后重新导入即可。
收尾:下一步行动
读完本文,你已掌握两条「仅代理终端」的可复现路径:图形化的进程级分流零命令、脚本友好的 SOCKS5 本地栈。现在就打开快连,按上文「验证」段落跑一遍curl与ping,确认规则生效;再把团队常用域名模板导出备份,后续换机一键导入即可。若遇到 SIP 或 Kill-Switch 异常,优先检查路径与端口,再对照 FAQ 回退,基本可在十分钟内排障。祝你既享受海外高速,又不被国内应用拖慢。
