在使用 Clash 等代理工具时,经常会遇到三个概念:全局连接规则判断TUN 模式。它们控制着代理行为的不同维度,理解清楚才能做出正确的配置选择。

怎么拿到流量:普通代理 vs TUN

普通代理工作在应用层,程序必须主动将请求发送到代理端口才能被接管。浏览器通常支持系统代理设置,但终端工具(gitpip)、游戏客户端(UDP)等不会主动配合,流量直接绕过代理。

TUN 模式通过创建虚拟网卡并修改系统路由表,在网络层拦截所有流量。由于路由表是操作系统级别的全局配置,任何程序发出的网络包都必须经过它,因此 TUN 实现了真正的透明代理——程序无需感知,已经打开的终端也立即生效。

如何处理流量:全局 vs 规则

全局连接:所有被接管的流量无差别走代理出口,不做任何分流。配置简单,但国内流量也绕远路,通常只用于临时测试节点是否可用。

规则判断:按预设规则对每条流量做决策,典型规则如”中国大陆 IP 直连,其余走代理”。国内直连保速度,国外走代理保访问,是日常使用的最佳策略。

四种组合及其适用场景

配置 覆盖范围 分流 适用场景
不开 TUN + 规则 仅支持系统代理的程序(浏览器为主) 轻度用户,只需浏览器翻墙
不开 TUN + 全局 仅支持系统代理的程序 临时测试节点连通性
TUN + 规则 系统所有程序和协议 日常首选,开发者 / 游戏玩家
TUN + 全局 系统所有程序和协议 安全审计、流量分析、特殊测试

TUN + 规则是绝大多数场景的最优解:TUN 保证所有程序流量都被接管,规则保证国内外合理分流,两者相辅相成。

TUN + 全局最为”暴力”,国内流量也全走代理,局域网访问可能受影响,适合需要统一出口 IP 的审计或测试场景。

TUN 模式的代价

  • 需要管理员权限:创建虚拟网卡需要 root/管理员权限
  • 性能开销更高:流量多一次内核↔用户态拷贝,低端设备需注意
  • 可能与企业 VPN 冲突:路由表互相干扰,可能导致内网断连
  • DNS 泄漏需额外处理:建议配合 fake-ip 模式,避免 DNS 查询暴露访问记录

小结

出站策略(全局/规则)决定流量的去向,TUN 决定流量的捕获方式,两者正交组合。对于开发者而言,TUN + 规则是默认最优选;其余三种组合各有特定适用场景,按需选择即可。