标签 白名单模式 下的文章

最近因为 AI 封号潮,很多佬友不敢用来路不明的节点,甚至想开全局代理保平安。
但是开全局又会导致访问国内网站变慢、B 站卡顿,最要命的是可能进不去公司内网。

折腾了一圈,发现最稳的方案还是 Clash 负责无脑全局(防泄露),SwitchyOmega 负责白名单直连(保体验)

分享一下我的配置作业,主打一个零信任,希望能帮到有同样需求的佬友。

核心逻辑

采用 “零信任 / 白名单模式” 。默认假设所有流量都需要走代理(以保护 AI 账号安全),只有明确被信任的国内域名和内网 IP 才允许直连。

1. Clash 端设置(地基)

  • 运行模式Global(全局模式)。确保由 Clash 接管一切,不留死角。
  • 系统代理开启。(:如果开启后导致公司内网 VPN 客户端冲突或掉线,请改为关闭;关闭后浏览器依然有效,但 特定软件需手动设置代理)。
  • TUN 模式关闭
  • 节点选择:手动锁定一个稳定的美国节点(不要自动测速跳变)。

2. SwitchyOmega 插件设置(核心)

  • 情景模式:选择 auto switch(自动切换)。
  • 默认情景模式(最后一行):设置为 proxy(即指向 Clash)。
  • 规则列表设置
    • 规则列表格式必须选择 Switchy(关键!为了更好支持通配符 *)。
    • 规则列表规则:设置为 [直接连接]

3. 白名单配置代码(复制即用)

后续大家可以根据自己的浏览习惯,遇到慢的国内网站就加进去。
auto switch 的规则列表正文中,清空原内容,粘贴以下代码:

; --- 本机与内网 (规范化) ---
127.0.0.1
::1
localhost
192.168.*.*
10.*.*.*
172.16.*.*
172.17.*.*
172.18.*.*
172.19.*.*
172.20.*.*
172.21.*.*
172.22.*.*
172.23.*.*
172.24.*.*
172.25.*.*
172.26.*.*
172.27.*.*
172.28.*.*
172.29.*.*
172.30.*.*
172.31.*.*

; --- 安全与技术站 (微步/52/CSDN/博客园) ---
*.threatbook.cn
*.threatbook.com
*.x.threatbook.com
*.fofa.info
*.52pojie.cn
*.csdn.net
*.oschina.net
*.gitee.com
*.cnblogs.com
*.juejin.cn
*.jianshu.com

; --- 核心大厂主站 ---
*.cn
*.baidu.com
*.bdstatic.com
*.qq.com
*.weixin.qq.com
*.aliyun.com
*.taobao.com
*.tmall.com
*.jd.com
*.163.com
*.126.com
*.zhubajie.com
*.feishu.cn
*.dingtalk.com
*.zhihu.com
*.zhimg.com

; --- 视频与娱乐 (B站/抖音) ---
*.hdslb.com
*.bilivideo.com
*.bilivideo.cn
*.douyin.com
*.byteimg.com

; --- 常用公共 CDN (解决图片/样式不加载) ---
*.alicdn.com
*.gtimg.com
*.gtimg.cn
*.qpic.cn
*.qlogo.cn
*.qhimg.com
*.qiniucdn.com
*.upyun.com
*.bootcss.com
*.staticfile.org

方案优势解析

1. 极致的账号安全性(防封号)

  • 原理: 传统的 “黑名单模式”(GFWList)是 “知道被墙的才走代理”。这意味着如果有漏网之鱼(比如 OpenAI 新开了个域名),你的真实 IP 就会瞬间暴露,导致封号。
  • 本方案: 采用 “默认代理”。哪怕是你从未访问过的国外网站,或者 OpenAI 偷偷调用的后台 API,都会强制走美国节点。 这彻底杜绝了 IP 泄露的可能性。

2. 彻底剥离 “机场依赖”

  • 痛点: 以前你不仅要挑机场,还要看机场的规则写得好不好。如果机场规则烂,访问微步就会变慢,访问 ChatGPT 就会断连。
  • 本方案: 你不再依赖机场的规则。Clash 只负责无脑转发,分流的智慧掌握在你自己的浏览器里。哪怕换个最烂的机场,分流依然精准。

3. 极低的维护成本(符合成本论)

  • 操作: 以后如果发现某个国内网站(比如某政府网)变慢了,点击浏览器插件图标 → 添加条件直接连接
  • 对比: 不需要去改 Clash 的 YAML 代码,不需要重启软件,不需要找文档。1 秒钟解决问题。

补充讨论:关于 Flclash 脚本与本方案的取舍

评论区有人分享了这个大佬的方案,写得非常棒: [Flclash 覆写脚本分享 3 - 隐藏了部分策略组,并引入了节点过滤 - 开发调优 - LINUX DO](

**Flclash 覆写脚本分享 3 - 隐藏了部分策略组,并引入了节点过滤 **

)

结合我自己的 网安工作场景AI 重度使用需求,分享一下为什么我倾向于坚持 「Clash Global (全局) + SwitchyOmega (白名单)」

1. 安全哲学的根本区别:Fail-Safe vs Fail-Open

  • 脚本 / 规则分流(黑名单逻辑):依赖 GFWList 和 GeoIP。如果 OpenAI 突然启用了新域名,或者规则库更新不及时,流量可能会因为匹配不到规则而误走直连,导致 真实 IP 泄露。这对于 AI 保号 是致命的。
  • 浏览器白名单(零信任逻辑):我的方案是默认所有流量走代理(Global)。只有我显式信任的域名(如微步、百度、内网)才直连。未知 = 代理。这种 “宁可误杀,绝不漏放” 的机制,能给 AI 账号提供 100% 的安全环境。

2. 业务稳定性 vs 节点速度

  • 脚本使用了 url-test 自动测速。这会导致出口 IP 在不同节点间跳变。看 YouTube 没问题,但对于风控严格的 ChatGPT/Claude,IP 频繁变动是封号大忌
  • 在全局模式下,我手动锁定一个稳定的美国节点,哪怕它延迟高一点,但它是静态的。生产力环境,稳定性 > 速度。

3. 内网 / VPN 的兼容性

  • 在复杂的企业内网或挂着 VPN 办公时,系统级的 TUN 模式有时会和 VPN 客户端抢路由表。
  • 将分流控制在浏览器应用层(SwitchyOmega),可以完美绕过系统路由冲突,实现挂着梯子查资料的同时,丝滑访问 10.x / 172.x 的内网资产。

特别说明:关于 “系统代理” 开不开?

文中建议大家 “开启” 系统代理,但这里有个前提:

  • 如果你不开系统代理:浏览器由插件接管没问题,但 反重力 默认会直连(连不上),需要在软件内手动填 127.0.0.1:7890
  • 如果你开启系统代理:TG 等软件能直接用,很方便。但如果你电脑上还装了 EasyConnect、AnyConnect 等企业 VPN,开启系统代理可能会导致路由冲突(VPN 连不上或梯子断流)。

结论: 没冲突就开着(省事);有冲突就关掉(保内网),然后手动给 反重力 填代理。

白名单可以去 GitHub 上搜
注意: 千万不要把这些列表全选复制进 SwitchyOmega!

  1. 太长了(几万行),会拖慢浏览器匹配速度。
  2. 没必要,我们是 “零信任”,只加自己常用的即可。

进阶技巧:如何知道该加哪个域名? > > 如果你发现访问淘宝或 B 站时,排版乱了或者图片裂了,说明有 CDN 域名走了代理。 > 一招解决: > 1. 按 F12 打开开发者工具,切到 Network (网络) 标签。 > 2. 刷新网页(F5)。 > 3. 找红色的或者加载特别慢的请求,看它的 Domain (域名) 列。 > 4. 比如你看到 [img.alicdn.com](http://img.alicdn.com/) 很慢,就把 *.alicdn.com 加到 SwitchyOmega 的列表里。

📌 转载信息
原作者:
techq
转载时间:
2026/1/19 18:32:42