科技熊工作室科技熊工作室 · 攻略
攻略 / 客户端进阶

FlClash 进阶指南:内核、协议、分流、规则与用日志排障(2026)

📅 2026-07-02 ⏱ 约 9 分钟

FlClash 是一款基于 Flutter 的跨平台客户端(Android/Windows/macOS/Linux,鸿蒙可直接用 Android 版),界面走 Material You 风格,底部或侧边分为仪表盘、配置、代理、日志、工具等几页。这篇不教你一键连,而是把它背后的原理讲透:懂了这些,遇到"连上了却打不开网页""某个网站不走代理"这类问题,你能自己定位,而不是干等别人回答。

说明:FlClash 迭代较快,下文的菜单名称与位置截至 2026 年年中,以你自己的版本为准,思路是通用的。

先分清:外壳(GUI)与内核(Mihomo)

你看到的 FlClash 窗口只是"外壳(GUI)",负责画界面、点开关;真正干活的是内核。FlClash 内置的内核是 Mihomo,也就是过去大家熟悉的 Clash.Meta——它是 Clash Premium 停更后的社区继任内核。FlClash 通过 FFI 直接调用这个内核,所以你在界面上改的每个开关,最终都转成内核的配置。

为什么现在主流客户端(FlClash、Clash Verge Rev、Stash 等)都跑 Mihomo?因为它把新协议和高级分流能力都补齐了:VLESS Reality、Hysteria2、TUIC、AnyTLS 都支持,规则类型更全,性能也更好。理解"外壳可以换、内核是同一个"这点很重要:同一份订阅在 FlClash 和 Clash Verge Rev 上表现基本一致,问题也往往出在内核配置层,而非某个外壳。

协议是什么

节点的"协议"决定了流量怎么被伪装、怎么和服务器握手。常见的有:VLESS(通常搭配 Reality 免证书抗封锁)、VMess、Trojan(伪装成正常 HTTPS)、Shadowsocks(轻量加密)、Hysteria2 与 TUIC(基于 QUIC/UDP,弱网抗丢包)、AnyTLS。

要区分两层概念:代理协议(VLESS/VMess 等,解决"身份与加密")和传输层(tcp、ws、grpc)+ TLS(解决"数据怎么走、怎么套壳")。比如"VLESS + ws + tls"就是一条完整描述。你不用手填这些,订阅会下发好;但看得懂,才知道某节点为什么在你网络下更稳。

基础网络与两种代理模式

先垫几个词:IP 是设备地址,DNS 把域名翻译成 IP,TCP/UDP 是两种传输方式,端口是同一 IP 上区分服务的编号。代理就是让你的流量先到中转服务器再出去。

FlClash 接管流量有两种方式,务必分清:

  • 系统代理:客户端在本机开一个混合端口(mixed-port,HTTP 与 SOCKS 合一),再把系统代理指向它。只有"认代理"的程序(浏览器等)会走,不认代理的程序照旧直连。桌面端在仪表盘页有"系统代理"开关。
  • TUN 模式:创建一张虚拟网卡,接管全部流量,包括那些不认代理的程序。桌面端在仪表盘/工具里开 TUN;安卓端没有系统代理概念,开代理走的是系统 VpnService 的 VPN 模式(免 root),本质就是 TUN。首次开会弹系统授权。

一句话:系统代理管得少但轻,TUN 全局接管但更吃系统。安卓端还能做"分应用代理"——在设置里按 App 包名选择哪些走代理、哪些绕开,配合关闭电池优化保证后台不被杀。

分流(路由)如何运作

这是最该理解的一块。内核拿到一条请求后,从规则表最上面一条开始逐条比对,命中即停,后面的不再看,最后用 MATCH 兜底。所以规则顺序就是优先级,顺序错了,一条靠前的宽泛规则会"吃掉"你以为会走后面的流量。

出站模式有三种:规则(rule,按规则表分流)、全局(global,全部走所选节点)、直连(direct,全部不走代理)。排障时先确认自己在哪个模式。

规则命中靠两类数据库:GEOIP(IP 归属国家)和 GEOSITE(域名分类集合,如 google、telegram)。更进阶的是规则集(rule-providers),即远程维护的一大批规则文件,订阅里 RULE-SET 引用它们。

代理规则与策略组

常见规则类型(左匹配对象、右举例):

  • DOMAIN 精确域名,如 DOMAIN,www.example.com
  • DOMAIN-SUFFIX 域名及子域,如 DOMAIN-SUFFIX,google.com
  • DOMAIN-KEYWORD 含关键词,如 DOMAIN-KEYWORD,youtube
  • IP-CIDR IP 段,如 IP-CIDR,8.8.8.8/32
  • GEOIP 按国家,如 GEOIP,CN,DIRECT
  • GEOSITE 按域名集合,如 GEOSITE,telegram
  • PROCESS-NAME 按进程/App,如 PROCESS-NAME,chrome.exe
  • RULE-SET 引用规则集

规则右侧指向一个策略组(proxy-group),类型决定"这组里怎么选节点":select 手动选;url-test 自动选延迟最低;fallback 按顺序用第一个可用的;load-balance 多节点分摊;relay 链式串联多个节点落地。日常最常用的是一个手动 select 组套若干 url-test 组。

想改规则又不动订阅原文,用 FlClash 的覆写(override)功能:在配置的更多操作里进入覆写,注入你自己的规则片段或脚本,订阅更新后依然生效——这是加自定义分流的正确姿势。

IPv6 该不该开

多数人保持关闭即可。开 IPv6 的前提是:你本地网络有 IPv6、且节点也支持 IPv6,否则容易出现连上却时快时慢,或 IPv6 流量绕过虚拟网卡造成泄露。FlClash 里 IPv6 有两处:一是基础网络的 IPv6 开关,二是 DNS 里的 IPv6 解析开关,可在工具→覆写→基础/DNS 调整。确有需求(如访问仅 IPv6 资源)再开,并同时确认 DNS 也放行。

DNS:fake-ip 与覆写

DNS 有两种工作模式。fake-ip:内核先给域名派一个虚拟 IP 占位,把真正的解析推迟到出站时在节点侧完成,天然防污染、速度快,是 TUN 下的推荐模式。redir-host:本地就地解析真实 IP,兼容性好但更易被污染。

DNS 覆写为什么重要?国内网络对部分域名的 DNS 应答会被污染,若解析走了本地被污染的结果,你连节点选路都是错的。合理做法是打开客户端 DNS 覆写,nameserver 指向可信解析,fallback 作为境外兜底,让敏感域名的解析在代理侧完成。

用日志和连接页 debug(重点)

这是把你从"新手"变"能自助排障"的关键技能。

先调日志级别:工具或设置里有日志级别,从 silent、error、warning、info 到 debug。平时用 info;查具体问题时切 debug,能看到健康检查、握手、超时等细节。注意级别只影响面板显示的详略。

日志页(Logs):实时滚动每条请求命中了哪条规则、被派往哪个策略组。页面顶部有搜索/筛选框——直接输入域名或关键词(如 youtube),就能只看这个站的记录,一眼确认它命中的是代理规则还是被某条 DIRECT 规则提前吃掉了。

连接页(Connections):列出当前活跃连接,每条能看到目标域名、命中的规则(rule)、代理链(chains,即最终走了哪个/哪些节点)、上下行流量与耗时。同样支持按域名筛选。

一个典型排障流程:某网站打不开→在连接页或日志页搜它的域名→看命中规则是不是你预期的那条→看 chains 走的是代理还是 DIRECT→若走了代理却报 timeout,再回代理页对该节点测速。三步就能判断问题出在规则、节点还是 DNS,而不是盲目重启。

小结

搞懂内核与外壳、协议与传输、系统代理与 TUN、规则自上而下匹配、策略组类型、IPv6 与 DNS,再加上会用日志页和连接页筛选定位——这套知识对任何 Mihomo 系客户端、任何订阅都通用。如果你想少折腾、直接拿一份已经调好的配置作起点,科技熊的高定版 FlClash登录即用,预置了优化配置(自动分流 + 自动选延迟最低节点),想深入自定义就用上面这些方法在它基础上改;要不要动手,完全由你决定。

延伸阅读:Clash Verge Rev 进阶翻墙后能干嘛攻略首页

关于科技熊工作室

重资本自建 IEPL 物理隔离专线,多链路高可用架构。对上网体验有极致追求的非主流工作室,从 2017 年起致力为全球用户提供稳定的网络加速服务。

本文最后更新:2026-07-02