`[General]
================ iOS和MacOS共同的 Surge 参数 ================
> 日志级别 verbose, info, notify, or warning 不建议在日常使用中启用详细,因为这会显著降低性能。
loglevel = notify
> IPv6协议 启用完整的 IPv6 支持。具体来说,开启该选项后,访问域名时会查询该域名的AAAA记录。即使未启用此选项,也可以通过直接访问 IPv6 地址来访问 IPv6 站点。
ipv6 = false
> 允许 IPv6 通过 Surge VIF。当您希望 Surge 处理连接到 IPv6 地址的原始 TCP 连接时很有用。
> off :切勿使用 IPv6 设置 Surge VIF
> auto :仅当本地网络具有有效的 IPv6 网络时,才使用 IPv6 设置 Surge VIF
> always :始终使用 IPv6 设置 Surge VIF
ipv6-vif = false
> dns服务器 上游DNS服务器的IP地址
dns-server = 223.6.6.6, 223.5.5.5, 119.29.29.29, system
> 跳过代理 在 iOS 版本中,此选项强制与这些域/IP 范围的连接由 Surge VIF 而不是 Surge 代理处理。在 macOS 版本中,当启用“设置为系统代理”时,这些设置将应用于系统。此选项用于修复某些应用的兼容性问题。
> apple.com、apple.com、192.168.2. or 192.168.2.0/24
> 注意:如果输入 IP 地址或地址范围,则只有在使用该地址连接到该主机时才能绕过代理,而不能在通过解析为该地址的域名连接到主机时绕过代理。
skip-proxy = 127.0.0.0/8, 192.168.0.0/16, 10.0.0.0/8, 172.16.0.0/12, 100.64.0.0/10, 162.14.0.0/16, 211.99.96.0/19, 162.159.192.0/24, 162.159.193.0/24, 162.159.195.0/24, fc00::/7, fe80::/10, localhost, *.local, captive.apple.com, passenger.t3go.cn, *.ccb.com, wxh.wo.cn, *.abcchina.com, *.abcchina.com.cn
> 排除简单主机名 就像 skip-proxy 参数一样。此选项允许请求使用由 Surge VIF 而不是 Surge 代理处理的简单主机名(不带点)。
> mysql01、redis01
exclude-simple-hostnames = true
> 外部控制器访问 此选项允许外部控制器控制 Surge,例如 Surge Dashboard (macOS) 和 Surge iOS 遥控器 (iOS)。例如:key@0.0.0.0:6166
external-controller-access = mima1234@0.0.0.0:6166
> 使用 HTTPS 协议而不是 HTTP。必须先配置 MitM CA 证书。您需要在客户端设备上手动安装证书。
http-api-tls =
> 启用此功能后,您可以通过 Web 浏览器控制 Surge。
http-api-web-dashboard = true
> 显示错误页面拒绝,如果请求是纯 HTTP 请求,则显示 REJECT 策略的错误网页。
show-error-page-for-reject = true
> Surge VIF只能处理 TCP 和 UDP 协议。使用此选项可绕过特定 IP 范围,以允许所有流量通过。
> 注意:此选项仅适用于Surge VIF。Surge Proxy Server 处理的请求不受影响。合并 skip-proxy 并确保 tun-excluded-routes 特定 HTTP 流量绕过 Surge。
tun-excluded-routes =
> 默认情况下,Surge VIF 接口将自身声明为默认路由。但是,由于 Wi-Fi 接口的路由较小,因此某些流量可能无法通过浪涌 VIF 接口。使用此选项可添加较小的路由。
tun-included-routes =
> Internet 连接测试的 URL, 以及,DIRECT 策略的测试 URL
internet-test-url = http://connectivitycheck.platform.hicloud.com/generate_204
> 代理策略的默认测试 URL
proxy-test-url = http://latency-test.skk.moe/endpoint
> 连接测试超时(秒)
test-timeout = 5
> 始终真实的 IP 此选项要求 Surge 在 Surge VIF 处理 DNS 问题时返回真实 IP 地址而不是虚假 IP 地址 DNS数据包将被转发到上游DNS服务器 此参数属于主机列表类型,详细规则请参见:https://manual.nssurge.com/others/host-list.html
> 使用前缀 - 排除主机名
> 支持通配符 * 和 ?
> 使用后缀 :port 匹配其他端口,如果未提供端口号,则 Surge 将自动为该参数附加标准端口号,就像 force-http-engine-hosts 参数一样,如果仅配置了主机名,则仅对端口 80 有效。对于 MITM 功能,它仅对端口 443 有效。
> 使用后缀 :0 以匹配所有端口
> 使用<ip-address> 直接使用 IPv4/IPv6 地址(而不是域)匹配所有主机名
> -icloud, -.mzstatic.com, -.facebook.com, -.instagram.com, -.twitter.com, -dropbox, -apple, -*.amazonaws.com, -<ip-address>, *
always-real-ip = *.test.com
> 劫持DNS,默认情况下,Surge 仅返回发送到 Surge DNS 地址 (198.18.0.2) 的 DNS 查询的虚假 IP 地址。发送到标准 DNS 的查询将被转发。某些设备或软件始终使用硬编码的 DNS 服务器。(例如,Google Speakers始终使用 8.8.8.8)。您可以使用此选项劫持查询以获取虚假地址。您可以使用 hijack-dns = *:53 劫持所有DNS查询
hijack-dns = 8.8.8.8:53, 8.8.4.4:53
force-http-engine-hosts =
> 加密 DNS 跟随出站模式,默认情况下,加密的 DNS 查找使用直接出站。启用该选项将使 DOH 遵循出站模式设置和规则。
encrypted-dns-follow-outbound-mode = true
> 加密的 DNS 服务器,加密的 DNS 服务器的 URL。如果配置了加密 DNS,则传统 DNS 将仅用于测试连接并解析加密 DNS URL 中的域。
encrypted-dns-server = https://223.5.5.5/dns-query,quic://223.6.6.6:853,quic://223.5.5.5:853,https://223.6.6.6/dns-query,https://1.12.12.12/dns-query,https://120.53.53.53/dns-query
> 跳过加密的DNS服务器证书验证,这是不安全的。
encrypted-dns-skip-cert-verification = false
> 使用本地主机代理,默认情况下,如果使用代理策略,则始终在远程服务器上执行 DNS 查找。启用此选项后,如果存在目标域的本地 DNS 映射结果,则 Surge 会使用 IP 地址而不是域来设置代理连接。
use-local-host-item-for-proxy = false
> 要更新的 GeoIP 数据库的 URL
geoip-maxmind-url = https://github.com/Hackl0us/GeoIP2-CN/raw/release/Country.mmdb
> 禁用 GeoIP 数据库的自动更新
disable-geoip-db-auto-update = false
> iOS 系统可能会执行 SVCB 记录 DNS 查找,而不是标准 A 记录查找。这会导致 Surge 无法返回虚拟 IP 地址。因此,默认情况下,禁止 SVCB 记录查找,以强制系统执行 A 记录查找。
allow-dns-svcb = false
> UDP 流量与不支持 UDP 中继的策略匹配时的回退行为,可能的值: DIRECT 、 REJECT, 如果没有代理服务器支持 UDP 转发,可修改为「 direct 」或注释下条,但需注意同一目标主机名 TCP 请求与 UDP 请求的源地址不同所造成的隐私及安全风险。
udp-policy-not-supported-behaviour = REJECT
> 代理的默认 UDP 测试参数, 例如: apple.com@8.8.8.8
proxy-test-udp = apple.com@64.6.64.6
> 当系统负载非常高且数据包处理延迟时,启用将优先处理 UDP 数据包。也称为游戏模式
udp-priority = false
> Surge 将自动嗅探发送到端口 80 和 443 的 TCP 请求的协议,从而在优化性能的同时启用高级 HTTP/HTTPS 功能。但是,这可能会导致一些兼容性问题。如果遇到问题,可以在此处添加主机名,Surge 不会嗅探这些请求的协议。此参数属于主机列表类型,详细规则请参见:https://manual.nssurge.com/others/host-list.html
always-raw-tcp-hosts = *.baidu.com
================ 仅限 MacOS 的 Surge 参数 ================
> 如果禁用,即使 Wi-Fi 不是主网络接口,SSID/BSSID 模式仍可匹配。
use-default-policy-if-wifi-not-primary = false
> 遵循 /etc/hosts 中的本地 DNS 映射项
read-etc-hosts = true
> Surge HTTP 代理服务的端口号
debug-cpu-usage = false
> Surge SOCKS5 代理服务的端口号
debug-memory-usage = false
> 启用 CPU 调试模式。这可能会降低性能。
vif-mode = v3
> 启用内存调试模式。这可能会降低性能。
> vif模式
> auto :让Surge自动选择最合适的工作模式。
> v1 :传统模式,TCP协议栈完全由Surge管理。由于 Surge 运行在用户空间中,这意味着每个数据包都需要从内核空间传输到用户空间进行处理。
> v2 :在 5.0 版本中引入,它使用 macOS 中的数据包过滤器机制,利用 macOS 的 TCP 协议栈,从而避免了在内核空间和用户空间之间切换的开销,从而显着提高了性能。但是,由于它需要修改 pf 设置,因此它与虚拟机网络和网络共享功能不兼容。
> v3 :在 5.2 版中引入,它绕过了数据包过滤器,并采用另一种技术来使用 macOS 的 TCP 协议栈。性能略低于 v2,但避免了因调整 pf 设置而导致的兼容性问题。
http-listen = 0.0.0.0
socks5-listen = 0.0.0.0`
[Rule]
domainset
广告拦截 / 隐私保护 / Malware 拦截 / Phiishing 拦截
APPLE CDN
DOMAIN-SET,https://ruleset.skk.moe/List/domainset/apple_cdn.conf,DIRECT
下载
DOMAIN-SET,https://ruleset.skk.moe/List/domainset/download.conf,DIRECT
测速
CDN
DOMAIN-SET,https://ruleset.skk.moe/List/domainset/cdn.conf,"🔰 节点选择"
Non IP
广告拦截 / 隐私保护 / Malware 拦截 / Phiishing 拦截
MainLand
RULE-SET,https://ruleset.skk.moe/List/non_ip/domestic.conf,DIRECT
RULE-SET,https://ruleset.skk.moe/List/non_ip/direct.conf,DIRECT
苹果服务CN
RULE-SET,https://ruleset.skk.moe/List/non_ip/apple_cn.conf,DIRECT
RULE-SET,https://ruleset.skk.moe/List/non_ip/microsoft_cdn.conf,DIRECT
下载
RULE-SET,https://ruleset.skk.moe/List/non_ip/download.conf,DIRECT
CDN
RULE-SET,https://ruleset.skk.moe/List/non_ip/cdn.conf,"🔰 节点选择"
苹果、微软服务
RULE-SET,https://ruleset.skk.moe/List/non_ip/apple_services.conf,"🔰 节点选择"
RULE-SET,https://ruleset.skk.moe/List/non_ip/microsoft.conf,"🔰 节点选择"
流媒体
RULE-SET,https://ruleset.skk.moe/List/non_ip/stream_us.conf,"🇺🇸 美国节点"
RULE-SET,https://ruleset.skk.moe/List/non_ip/stream_eu.conf,"🇬🇧 英国节点"
RULE-SET,https://ruleset.skk.moe/List/non_ip/stream_jp.conf,"🇯🇵 日本节点"
RULE-SET,https://ruleset.skk.moe/List/non_ip/stream_kr.conf,"🇰🇷 韩国节点"
RULE-SET,https://ruleset.skk.moe/List/non_ip/stream_hk.conf,"🇭🇰 香港节点"
RULE-SET,https://ruleset.skk.moe/List/non_ip/stream_tw.conf,"🇨🇳 台湾节点"
RULE-SET,https://ruleset.skk.moe/List/non_ip/stream.conf,"🔰 节点选择"
AI
RULE-SET,https://ruleset.skk.moe/List/non_ip/ai.conf,"🇺🇸 美国节点"
RULE-SET,https://ruleset.skk.moe/List/non_ip/global.conf,"🔰 节点选择"
URL-REGEX
MITM 和 URL-REGEX 性能开销极大,不推荐使用
IP
广告拦截 / 隐私保护 / Malware 拦截 / Phiishing 拦截
RULE-SET,https://ruleset.skk.moe/List/ip/reject.conf,REJECT-DROP
Localhost
RULE-SET,https://ruleset.skk.moe/List/ip/lan.conf,DIRECT
MainLand
RULE-SET,https://ruleset.skk.moe/List/ip/domestic.conf,DIRECT
RULE-SET,https://ruleset.skk.moe/List/ip/china_ip.conf,DIRECT
TG
RULE-SET,https://ruleset.skk.moe/List/ip/telegram.conf,"🔰 节点选择"
PROCESS-NAME,Telegram,REJECT-DROP
流媒体
RULE-SET,https://ruleset.skk.moe/List/ip/stream_us.conf,"🇺🇸 美国节点"
RULE-SET,https://ruleset.skk.moe/List/ip/stream_eu.conf,"🇬🇧 英国节点"
RULE-SET,https://ruleset.skk.moe/List/ip/stream_jp.conf,"🇯🇵 日本节点"
RULE-SET,https://ruleset.skk.moe/List/ip/stream_kr.conf,"🇰🇷 韩国节点"
RULE-SET,https://ruleset.skk.moe/List/ip/stream_hk.conf,"🇭🇰 香港节点"
RULE-SET,https://ruleset.skk.moe/List/ip/stream_tw.conf,"🇨🇳 台湾节点"
RULE-SET,https://ruleset.skk.moe/List/ip/stream.conf,"🔰 节点选择"
GEOIP,CN,DIRECT
FINAL,🔰 节点选择,dns-failed
[Host]
ubuntu.xxx.com = 100.122.247.40
dev-server.xxx.com = 100.89.7.10
其他部分就是引入了两个机场的订阅
