本文整理自官方文档:《Surge 官方中文指引:理解 Surge 原理 - 章节 4 转发,代理和规则系统》
本文旨在介绍清楚概念,所以只描述常用只要功能,更多细节请参考官方文档。
一、出站模式
被 Surge 拦截的请求在处理完毕后将被转发。
如果 Surge 的出站模式设置为直接连接,那么该请求将被直接发往目标服务器;
如果出站模式设置为全局代理,那么将转发给指定的代理服务器;
当出站模式设置被设置为规则判定时,将根据配置的规则决定转发策略。
二、规则-策略系统概述
规则系统中有两个基本概念:策略和规则
1、策略:描述了 Surge 进行转发的方式,有三种类别:
- 内置策略:DIRECT、REJECT、REJECT-TINYGIF、REJECT-DROP
- 代理策略:每个策略对应一个代理服务
- 策略组:根据一定的规则从子策略中选择一个最终策略。
2、规则:规则由四个部分组成:类型、条件、策略和参数。当条件满足时,该规则匹配,使用该规则指定的策略。
三、策略
1、内置策略
内置策略由 Surge 提供,不随配置而变化:
- DIRECT:将该请求直接发往目标服务器
- REJECT:拒绝该请求,当连接类型为 HTTP 时,会返回一个错误页面。(该行为可被 show-error-page-for-reject 参数控制)
- REJECT-TINYGIF:拒绝该请求,当连接类型为 HTTP 时,返回一个 1px 的 GIF 图片响应。若为其他类型连接则直接断开。该策略主要用于 Web 广告屏蔽。
- REJECT-DROP:拒绝该请求,与 REJECT 不同的是,该策略将静默抛弃请求。因为部分程序有着十分暴力的重试逻辑,连接失败后会立刻进行重试,导致请求风暴。
由于操作系统对用户空间程序(user-space program)的 socket 并没有提供抛弃的操作,Surge 静默抛弃的实现方式是将该 socket 闲置一段时间后再关闭。
同时,如果发往某主机名的请求短时间内大量触发 REJECT/REJECT-TINYGIF 策略(当前版本的阈值为 30 秒内 10 次),为了避免产生大量资源浪费,Surge 将自动升级策略为 REJECT-DROP 策略。
2、代理策略
代理策略由用户自己定义,每个策略描述了一个代理服务,当使用该策略时即为通过该代理服务转发请求。
一个简单的代理策略定义行如下:
ProxyA = http, 11.22.33.44, 8080, username=user, password=pass
其中,ProxyA 为策略名,供规则和策略组所使用。第一个参数为代理协议类型,目前 Surge 支持的代理协议类型有:
- HTTP
- HTTPS
- SOCKS5
- SOCKS5-TLS
- Shadowsocks
- Snell
- VMess
- Trojan
另外还有两个特殊类型:
- external
- direct
第二个参数为代理服务器主机名,第三个参数为代理服务器端口号,后续为 key=value 的参数表,根据协议类型不同需要提供不同的参数。
2.1、direct 类型(仅限 Surge Mac)
这是一个特别的类型,严格来说并不是一个代理,用于强制使用某一个网卡进行请求。
PolicyName = direct, interface=en2, allow-other-interface=false
2.2、external 类型(仅限 Surge Mac)
external 类型策略可以让 Surge 与其他代理客户端(如:SSR、Brook)更方便的协同工作。
该功能目前只能通过直接编辑配置实现,策略定义行为:
External = external, exec = “/usr/local/bin/local”, args = “-c”, args = “/usr/local/etc/config.json”, local-port = 1080, addresses = 11.22.33.44
其中 args 和 addresses 参数为选填,其他必填。args 和 addresses 字段可以反复使用进行追加。
当使用到该策略时 Surge 会进行以下工作:
(1)使用 exec 和 args 参数启动该外部程序,之后向 SOCKS5 127.0.0.1:[local-port] 转发请求。
(2)如果外部进程被终止,当再次使用该策略时会自动进行重启。
(3)Surge 会在启动增强模式时自动将 addresses 参数中的地址排除在 VIF 路由表外。(请在该字段填写使用的代理服务器 IP 地址)
(4)当由 Surge 启动的外部进程的请求被 Surge VIF 处理时,永远使用 DIRECT 策略。(为了应对像 obfs-local 这样的插件请求问题,外部进程的子进程也会被同样处理)
(5)Surge 退出时会自动关闭所有外部进程,增强模式关闭时会自动清理加入的路由表。
上述 3 和 4 的功能是有重叠的,请尽量使用 addresses 声明使用到的地址以排除 TUN 处理,这样可以减少系统开销,4 的功能是一重额外保护。
2.3、策略组
- select 策略组:通过 UI 菜单选择一个策略。
- url-test 策略组:选择延迟最低的策略。
- fallback 策略组:选择可用的策略中,最靠前的策略。
- ssid 策略组:根据当前的 Wi-Fi SSID 选择一个策略。
- load-balance 策略组:随机使用一个子策略,可选进行可用性检查。
四、规则
- 域名规则
- IP 地址规则
- HTTP 相关规则
- 其他规则
- 规则集
RULE-SET 规则集可以将多个子规则放在一个单独的文件中,便于分享和复用。但是规则集中的规则不可以指定策略,整个规则集指向一个同一个策略。
另外 Surge 自带了 SYSTEM 和 LAN 两个规则集,规则集包含的具体子规则会随 Surge 更新而有所调整。注意 LAN 规则集会触发 DNS 解析。
- 逻辑规则
可通过 AND,OR,NOT 运算对所有规则类型进行组合使用。如
AND,((PROCESS-NAME,Google Chrome),(PROTOCOL,UDP)),REJECT
可以拦截 Chrome 发出的 UDP 数据包。
(完)
