快连macOS端如何启用系统级代理并排除本地地址?
快连macOS端一键启用系统代理并排除本地地址,兼顾流媒体与内网安全,步骤可审计。
功能定位:为什么需要“系统级代理+本地地址排除”
在 macOS 上,快连加速器(QuickLink privacy tool)默认只对 Safari 等少数应用生效;想让终端、Homebrew、Docker、Zoom 全部走加速通道,就必须开启“系统级代理”。然而一旦全局接管,局域网打印机、NAS、公司 GitLab 也会被转发到远端,延迟飙升甚至直接失联。2026-04 发布的 v5.5.0 把“排除列表”做成白盒:用户可审计、可回滚、可随网络环境自动切换,兼顾合规与性能。
决策树:先判断你是否真的需要系统级代理
经验性观察显示,约 60% 用户只用“应用级分流”就能流畅看 4K 或打游戏。以下三条只要命中一条,再考虑开系统级代理:
- 需要让终端命令(curl、git、npm)走加速通道;
- 公司 privacy tool 与快连并存,要求本地网段不冲突;
- Vision Pro 空间办公模式下,所有 UDP 端口需被接管。
若只是用 Safari 看 Netflix,直接选“浏览器模式”即可,省去维护排除列表的心力。
操作路径:macOS 端 3 步开启并排除本地地址
步骤 1 打开系统级代理开关
顶部菜单栏 → 快连图标 → 偏好设置 → 网络层 → 勾选“接管系统代理(System Proxy)”。macOS 会自动把 PAC 路径指向本地文件,形如 file:///Library/Application%20Support/QuickLink/proxy.pac(具体路径因安装方式而异)。
步骤 2 填写排除地址
在同一面板下方找到“绕过地址(Bypass List)”,点击“编辑原始文本”。快连已预置常见内网段:
localhost, 127.*, 10.*, 172.16.*, 192.168.*, *.local, *.home.arpa
若公司 Git 地址为 git.corp.example,追加一行即可;支持通配符与 IPv6 段(如 fd00::*)。保存后 3 秒内 PAC 重载,无需重启 App。
步骤 3 验证分流是否生效
打开终端,执行:
scutil --proxy | grep -E "(ExceptionsList|HTTPProxy|SOCKSProxy)"
若返回的 ExceptionsList 包含你刚添加的地址,且 HTTP/SOCKS 指向 127.0.0.1:7890(快连本地端口),说明配置已下发生效。再用
curl -v http://192.168.1.1
观察是否直连网关;若仍走代理,检查排除列表是否多打了空格。
提示
若你同时运行公司 privacy tool(如 Cisco AnyConnect),请把它的虚拟网段也加入 Bypass,否则会出现“双跳”导致延迟 >600 ms。
平台差异:macOS 与 Windows 的排除机制对比
macOS 采用系统 PAC 文件,绕过列表可实时热更新;Windows 端通过注册表 ProxyOverride 实现,需触发“网络状态变更”才生效。经验性观察:Windows 11 24H2 上,若 ProxyOverride 超过 260 字符可能被截断,需要拆分成多条规则;macOS 对字符长度无显性限制,适合运维批量导入。
例外与取舍:哪些地址不建议排除
1. 流媒体 CDN 域名:如 *.nflxso.net、*.disney-plus.com,一旦排除就会绕过专线,4K 缓冲概率上升。若公司 DNS 污染严重,可保留域名排除,但把对应 IP 段删掉,实现“域名直连、IP 走代理”的混合模式。
2. 本地开发虚拟网卡:Docker Desktop 默认给容器分配 192.168.65.0/24,若整段排除,容器镜像拉取会走本地网络,导致下载龟速。建议只排除 host.docker.internal 单域名,而非整段 CIDR。
与第三方工具协同:Homebrew、Docker、npm 最小权限原则
Homebrew 安装包时若走代理,Git 传输速度可从 200 KiB/s 提升到 8 MiB/s,但 brew 会校验 HTTPS 证书指纹,若节点使用自签中间证书会被拦截。解决:在“排除列表”追加 *.brew.sh 域名,让 bottle 下载走代理,而 repo 索引走直连,兼顾速度与合规。
Docker 引擎默认读取系统代理,但 build 阶段若把 192.168.0.0/16 整段排除,会导致“docker build”无法访问公司私有仓库。可仅排除 docker.corp.example,并在 Dockerfile 里显式指定 --network=host,避免全局绕过。
故障排查:PAC 不生效的 4 类高频原因
- 系统代理被其他 App 抢占:如 SwitchyOmega、ClashX 也会写 PAC,路径冲突。验证:终端
networksetup -getautoproxyurl "Wi-Fi"若返回非 QuickLink 路径,需先停用冲突软件。 - 排除列表含中文空格:macOS 的 PAC 解析器对空格敏感,建议用英文逗号分隔,不留空格。
- 公司 MDM 强制下发代理:部分企业描述文件会周期性覆盖系统代理,导致修改丢失。可在“系统设置-隐私与安全-描述文件”中查看是否有 ProxyPayload,若有,需与 IT 协商白名单。
- IPv6 地址未排除:新版 NAS 默认启用 IPv6,若只排除了 192.168.*,访问
https://[fe80::1]仍会走代理。建议追加fe80::*、fd00::*。
适用/不适用场景清单
| 场景 | 建议 | 原因 |
|---|---|---|
| 家用 4K 电视盒 | 无需系统代理 | 应用级分流已覆盖 Netflix,排除列表维护成本高 |
| 前端开发,需 npm 加速 | 启用系统代理,排除 *.npmjs.com | registry 走代理,公司私有 scope 走直连 |
| Vision Pro 云游戏 | 启用系统代理,排除本地 NAS | UDP 全端口需被接管,但 NAS 流量保持内网 |
| 公司强制 Zscaler | 不启用 | 双代理链导致 TLS 握手失败 |
最佳实践 6 条检查表
- 每次修改排除列表后,用
scutil --proxy确认 3 秒内生效; - 把常用规则存成
~/quicklink-bypass.txt,换机时一键导入; - 流媒体域名与本地域名分文件存放,避免混淆;
- 每季度用
arp -a扫描一次内网,发现新网段及时追加; - 开启“AI 拥堵预判”后,若节点频繁漂移,可把游戏 IP 锁定到 SG 节点,减少抖动;
- 若需合规审计,打开“日志-代理事件”开关,系统会记录 PAC 变更时间与内容,保留 30 天,可导出 CSV 供内审。
FAQ:系统级代理与排除列表
修改排除列表后需要重启 Mac 吗?
不需要。快连会触发 macOS 网络配置实时重载,3 秒内生效;若未生效,检查是否有其他代理软件抢占 PAC。
排除列表支持 IPv6 吗?
支持。可写 fe80::*、fd00::/8,但需确保本地网络已启用 IPv6,否则规则无效。
如何临时关闭系统代理?
顶部菜单栏 → 快连图标 → 取消勾选“系统代理”即可,PAC 文件会立即清空,恢复原生网络。
公司 privacy tool 与快连冲突怎么办?
把公司 privacy tool 的虚拟网段(如 10.254.*)加入排除列表,并在公司 privacy tool 配置里关闭“强制隧道”,实现分应用双栈。
排除列表最长支持多少字符?
macOS PAC 解析器无官方上限,经验性观察 10 万字符内可正常加载;超过后建议拆分子文件,用 include() 引入。
总结与下一步行动
快连 v5.5.0 让 macOS 的“系统级代理+本地地址排除”成为可审计的白盒配置:三步开启、实时生效、支持 IPv6 与通配符。终端加速、Vision Pro 云游戏或跨平台开发的用户,先用决策树判断值不值得开;开启后,用检查表定期维护排除列表,兼顾流媒体专线与内网安全。下一步,可把规则同步到 iOS/Apple TV,实现全家桶一致体验。未来版本若支持“按 SSID 自动切换排除模板”,将彻底省去手动换机的麻烦。
📺 相关视频教程
Clawdbot/Moltbot/OpenClaw 無回覆?一招解決!(修改模型配置) [保姆級教學]
分享这篇文章:
