zeaslity/shell-scripts
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
87c9529a2f18aaf194f48ca1c71ae8aca3149d9f
shell-scripts/1-代理Xray/10-clash规则/1-clash-expert-rule.yaml
zeaslity 87c9529a2f 新增firefly引用部署 
优化clash verge的DNS问题-极致优化
2026-01-07 10:47:52 +08:00

444 lines
13 KiB
YAML
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

#--------------------------------------------------------------------------------#
# Clash 专家级配置文件 (适配 Clash.Meta 核心) #
#--------------------------------------------------------------------------------#
#
# 本配置文件专为在中国大陆网络环境中使用而设计,旨在提供一套自动化、智能化、高可用性
# 的网络流量管理方案。
#
# 核心特性:
# 1. TUN 模式: 接管系统所有网络流量,实现真正的全局透明代理。
# 2. 规则集 (Rule Providers): 动态从网络加载和更新分流规则,免去手动维护烦恼。
# 3. 分割 DNS (Split DNS): 智能区分国内外域名解析,有效抗 DNS 污染,兼顾速度与准确性。
# 4. 逻辑化规则排序: 通过精心设计的规则匹配顺序,实现精确的流量控制。
#
#--------------------------------------------------------------------------------#
#----------------#
# 常规配置 #
#----------------#
# HTTP 代理端口
port: 7890
# SOCKS5 代理端口
socks-port: 7891
# 允许局域网连接,设为 true 后,局域网内其他设备可将本机作为网关使用
allow-lan: true
# 代理模式rule 表示规则模式,是本配置的核心
mode: rule
# 日志级别info 级别提供了足够的信息且不过于冗长
log-level: info
# 外部控制器,用于让 GUI 客户端 (如 Clash Verge) 或 WebUI (如 yacd) 控制 Clash 核心
external-controller: '127.0.0.1:9090'
# 外部 UI指定一个 WebUI 面板的目录,'dashboard' 是一个常见的选择
# external-ui: dashboard
#----------------#
# DNS 配置 #
#----------------#
dns:
enable: true
listen: 127.0.0.1:53 # [优化] 改为仅本机,防止局域网泄露
ipv6: false
enhanced-mode: fake-ip
fake-ip-range: 198.18.0.1/16
# Fake-IP 例外名单
fake-ip-filter:
- localhost
- '*.lan'
- '*.local'
- '*.arpa'
- time.*.com
- ntp.*.com
- +.market.xiaomi.com
- localhost.ptlogin2.qq.com
- '*.msftncsi.com'
- www.msftconnecttest.com
# [关键修复1] 默认 DNS - 仅用于解析 VLESS 节点域名
# 如果你的节点是 IP 地址,可以删除这些国内 DNS
default-nameserver:
- 223.5.5.5
- 119.29.29.29
# [关键修复2] 主 DNS - 改为仅使用海外加密 DNS
# 删除所有国内 DNS防止泄露到 Whoer.net
nameserver:
- https://dns.google/dns-query
- https://cloudflare-dns.com/dns-query
- tls://8.8.8.8:853
- tls://1.1.1.1:853
# [关键修复3] Fallback DNS - 保留海外 DNS 作为备份
fallback:
- https://dns.quad9.net/dns-query
- https://dns.adguard-dns.com/dns-query
- tls://9.9.9.9:853
# [关键修复4] Fallback 过滤器 - 反向逻辑
# 只有明确的国内域名才用国内DNS其他全部用海外DNS
fallback-filter:
geoip: true
geoip-code: CN
ipcidr:
- 240.0.0.0/4
- 0.0.0.0/8
# [重要] 删除 rule-set: direct防止国内规则集影响DNS选择
# [关键修复5] 域名策略 DNS - 强制 Google 走海外 DNS
nameserver-policy:
# Google 相关域名强制使用 Google DNS (DoH over proxy)
'+.google.com':
- https://dns.google/dns-query
'+.google.com.hk':
- https://dns.google/dns-query
'+.googleapis.com':
- https://dns.google/dns-query
'+.googleusercontent.com':
- https://dns.google/dns-query
'+.gstatic.com':
- https://dns.google/dns-query
'+.gmail.com':
- https://dns.google/dns-query
'+.youtube.com':
- https://dns.google/dns-query
'+.ytimg.com':
- https://dns.google/dns-query
'+.googlevideo.com':
- https://dns.google/dns-query
'+.gvt1.com':
- https://dns.google/dns-query
'+.gvt2.com':
- https://dns.google/dns-query
'+.recaptcha.net':
- https://dns.google/dns-query
'+.1e100.net':
- https://dns.google/dns-query
# 仅工作内网域名使用内网DNS
'+.hq.cmcc':
- 192.168.78.39
'+.uavcmlc.com':
- 192.168.34.40
'ir.hq.cmcc':
- 192.168.78.39
'oa.cdcyy.cn':
- 192.168.78.39
# 国内域名使用国内DNS通过规则集匹配
'rule-set:direct':
- 223.5.5.5
- 119.29.29.29
'rule-set:apple':
- 223.5.5.5
'rule-set:icloud':
- 223.5.5.5
use-system-hosts: true
prefer-h3: false
# [关键修复6] 启用 respect-rules
# 让 DNS 查询遵循分流规则Google DNS 查询会走代理
respect-rules: true
# [关键修复7] 代理节点域名解析
# 如果你的 VLESS 节点是域名保留国内DNS如果是IP改为海外DNS
proxy-server-nameserver:
- 223.5.5.5
- 119.29.29.29
# [优化] 直连DNS
direct-nameserver:
- 192.168.78.39 # 内网DNS
- 223.5.5.5
- 119.29.29.29
# 禁止远程调试
external-controller-cors: { }
##----------------#
## TUN 模式配置 #
##----------------#
## TUN 模式通过创建虚拟网卡,在系统网络层接管所有流量
#tun:
# # 启用 TUN 模式
# enable: true
# # 协议栈,'system' 在大多数系统上性能最佳
# # 在 macOS 上或遇到兼容性问题时可尝试 'gvisor'
# stack: system
# # DNS 劫持,将所有发往 53 端口的 DNS 请求重定向到 Clash 的 DNS 服务器
# # 这是强制所有应用使用 Clash DNS 的关键
# dns-hijack:
# - 'any:53'
# # 自动路由Clash 会自动配置系统路由表,将全局流量导向 TUN 网卡
# # 开启此项后,无需再进行任何手动网络设置
# auto-route: true
# # 自动检测出口网卡,适用于大多数单网卡设备
# # 如果设备有多个物理网卡,建议关闭此项并手动指定 interface-name
# auto-detect-interface: true
# [优化] 严格路由模式
# 开启后可防止 DNS 泄露,并解决在某些系统上 DNS 劫持不生效的问题。
# 注意:此设置会使局域网内的其他设备无法访问本机。如果不需要共享代理,建议开启。
# strict-route: true
#------------------------------------------------------------------#
# 代理节点 (Proxies) 和策略组 (Proxy Groups) - 用户需自行填充 #
#------------------------------------------------------------------#
#
# 请将您的订阅链接转换后,将 proxies 和 proxy-groups 的内容粘贴到此处
proxies:
proxy-groups:
- name: 🚀 节点选择
type: select
proxies:
- TC-HongKong
- BFC-LosAngles
- FV-HongKong
- Care-DEU-Dusseldorf-R-TCHK
- Oracle-KOR-Seoul-R-TCHK
- Oracle-JPN-Tokyo-R-TCHK
- Oracle-USA-Phoenix-R-TCHK
- Care-DEU-Dusseldorf
- Oracle-KOR-Seoul
- FV-DEU-Frankfurt
- FV-KOR-Seoul
- FV-JPN-Tokyo
- FV-GBR-London
- FV-USA-LosAngles
- CF-HongKong-R-TCHK
- FV-SGP
- CF_VIDEO_1
- CF_VIDEO_2
- Oracle-JPN-Tokyo-R-OSel
- Oracle-JPN-Osaka-R-OSel
- Oracle-USA-Phoneix-R-OSel
- TC-CHN-Shanghai
- ♻️ 自动选择
- DIRECT
- name: ♻️ 自动选择
type: url-test
url: https://www.gstatic.com/generate_204
interval: 300
tolerance: 50
proxies:
- BFC-LosAngles
- TC-HongKong
- Oracle-JPN-Tokyo-R-TCHK
- Oracle-USA-Phoenix-R-TCHK
- Oracle-KOR-Seoul
- Care-DEU-Dusseldorf
- Oracle-JPN-Tokyo-R-OSel
- Oracle-JPN-Osaka-R-OSel
- Oracle-USA-Phoneix-R-OSel
- name: 🌍 国外媒体
type: select
proxies:
- 🚀 节点选择
- ♻️ 自动选择
- 🎯 全球直连
- name: 📲 电报信息
type: select
proxies:
- 🚀 节点选择
- ♻️ 自动选择
- 🎯 全球直连
- name: Ⓜ️ 微软服务
type: select
proxies:
- 🎯 全球直连
- 🚀 节点选择
- name: 🍎 苹果服务
type: select
proxies:
- 🎯 全球直连
- 🚀 节点选择
- name: 💩 工作直连
type: select
proxies:
- DIRECT
- onetools-35-71
- name: 💩 工作代理
type: select
proxies:
- onetools-35-71
- DIRECT
- name: 🎯 全球直连
type: select
proxies:
- DIRECT
- 🚀 节点选择
- ♻️ 自动选择
- name: 🛑 全球拦截
type: select
proxies:
- REJECT
- DIRECT
- name: 🍃 应用净化
type: select
proxies:
- REJECT
- DIRECT
- name: 🐟 漏网之鱼
type: select
proxies:
- 🚀 节点选择
- 🎯 全球直连
- ♻️ 自动选择
- TC-HongKong
- Oracle-KOR-Seoul
#----------------#
# 规则集定义 #
#----------------#
# Rule Providers 用于从网络动态加载规则列表,实现规则的自动更新
rule-providers: # 广告、追踪器、恶意域名规则集
reject:
type: http
behavior: domain
url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/reject.txt"
path: ./ruleset/reject.yaml
interval: 604800 # 更新间隔: 7天
# iCloud 服务规则集
icloud:
type: http
behavior: domain
url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/icloud.txt"
path: ./ruleset/icloud.yaml
interval: 604800
# 苹果服务规则集
apple:
type: http
behavior: domain
url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/apple.txt"
path: ./ruleset/apple.yaml
interval: 604800
# 谷歌服务规则集
google:
type: http
behavior: domain
url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/google.txt"
path: ./ruleset/google.yaml
interval: 604800
# 需要代理的域名规则集
proxy:
type: http
behavior: domain
url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/proxy.txt"
path: ./ruleset/proxy.yaml
interval: 604800
# 需要直连的域名规则集
direct:
type: http
behavior: domain
url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/direct.txt"
path: ./ruleset/direct.yaml
interval: 604800
# 私有网络域名规则集
private:
type: http
behavior: domain
url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/private.txt"
path: ./ruleset/private.yaml
interval: 604800
# 中国大陆 IP 段规则集
cncidr:
type: http
behavior: ipcidr
url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/cncidr.txt"
path: ./ruleset/cncidr.yaml
interval: 604800
# 局域网 IP 段规则集
lancidr:
type: http
behavior: ipcidr
url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/lancidr.txt"
path: ./ruleset/lancidr.yaml
interval: 604800
# Telegram 服务器 IP 段规则集
telegramcidr:
type: http
behavior: ipcidr
url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/telegramcidr.txt"
path: ./ruleset/telegramcidr.yaml
interval: 604800
#----------------#
# 分流规则 #
#----------------#
# [优化] 规则优先级重新排序,防止 Google 被 CNCIDR 劫持
rules:
# 1. 拦截规则(最高优先级)
- RULE-SET,reject,🛑 全球拦截
# 2. 本地/内网流量
- RULE-SET,lancidr,DIRECT
- RULE-SET,private,DIRECT
# 3. [新增] Google 专用规则 - 必须在 CNCIDR 之前!
# 强制所有 Google 域名走代理,防止被 CNCIDR 劫持
- RULE-SET,google,🌍 国外媒体
- DOMAIN-SUFFIX,google.com,🌍 国外媒体
- DOMAIN-SUFFIX,google.com.hk,🌍 国外媒体
- DOMAIN-SUFFIX,googleapis.com,🌍 国外媒体
- DOMAIN-SUFFIX,googleusercontent.com,🌍 国外媒体
- DOMAIN-SUFFIX,gstatic.com,🌍 国外媒体
- DOMAIN-SUFFIX,gmail.com,🌍 国外媒体
- DOMAIN-SUFFIX,youtube.com,🌍 国外媒体
- DOMAIN-SUFFIX,ytimg.com,🌍 国外媒体
- DOMAIN-SUFFIX,googlevideo.com,🌍 国外媒体
- DOMAIN-SUFFIX,gvt1.com,🌍 国外媒体
- DOMAIN-SUFFIX,gvt2.com,🌍 国外媒体
- DOMAIN-SUFFIX,recaptcha.net,🌍 国外媒体
- DOMAIN-SUFFIX,1e100.net,🌍 国外媒体
- DOMAIN-KEYWORD,google,🌍 国外媒体
# 4. [新增] Google IP 段强制走代理(防止 CNCIDR 劫持)
# Google 的部分 IP 段可能被 CNCIDR 误判为国内
- IP-CIDR,8.8.8.8/32,🌍 国外媒体,no-resolve
- IP-CIDR,8.8.4.4/32,🌍 国外媒体,no-resolve
- IP-CIDR,142.250.0.0/15,🌍 国外媒体,no-resolve # Google IP 段
- IP-CIDR,172.217.0.0/16,🌍 国外媒体,no-resolve # Google IP 段
- IP-CIDR,216.58.192.0/19,🌍 国外媒体,no-resolve # Google IP 段
- IP-CIDR,74.125.0.0/16,🌍 国外媒体,no-resolve # Google IP 段
# 5. 工作域名
- DOMAIN-SUFFIX,cdcyy.cn,💩 工作直连
- DOMAIN-SUFFIX,hq.cmcc,💩 工作直连
- DOMAIN-SUFFIX,wdd.io,💩 工作直连
- DOMAIN-SUFFIX,harbor.cdcyy.com.cn,💩 工作直连
- DOMAIN-SUFFIX,ecs.io,💩 工作直连
- DOMAIN-SUFFIX,uavcmlc.com,💩 工作直连
# 6. Apple/iCloud 服务
- RULE-SET,icloud,🍎 苹果服务
- RULE-SET,apple,🍎 苹果服务
# 7. Telegram
- RULE-SET,telegramcidr,📲 电报信息
# 8. 其他代理规则
- RULE-SET,proxy,🌍 国外媒体
# 9. 国内直连域名规则
- RULE-SET,direct,🎯 全球直连
# 10. [降低优先级] 国内 IP 段 - 放到最后,防止误判
# 将 CNCIDR 规则移至此处,确保 Google 规则优先匹配
- RULE-SET,cncidr,DIRECT
# 11. 基于 GeoIP 的补充规则
- GEOIP,CN,DIRECT
# 12. 兜底规则
- MATCH,🐟 漏网之鱼
Reference in New Issue View Git Blame Copy Permalink