社区 › 电脑讨论(新) › 如何精准分流淘宝app的QUIC连接

dogmeat 发表于 2025-7-8 17:00

如何精准分流淘宝app的QUIC连接

起因：小弟一直用mac surge开网关模式做旁路由代理家里的连接，但总觉得手机开淘系app时比不用旁路由时慢一截。今天仔细在surge连接查看器里查连接，发现quic请求都被REJECT-NO-DROP了，然后把相关规则给关掉后，淘系app果然速度起飞了。

于是写了两个规则来保障QUIC连接的分流：
AND ((GEOIP,CN),(PROTOCOL,UDP),(DEST-PORT,443)) DIRECT
AND ((PROTOCOL,UDP),(DEST-PORT,443)) REJECT-NO-DROP

但发给chat**时被攻击了：“❌ 问题 3：这样放行所有 CN IP 的 QUIC 是否安全？（风险）这其实是你原先“IP 不够全面”问题的变体，但这招只是“扩大通行证”，它的问题在于：✳️ 很多国外服务（如 YouTube、Twitter）也会通过国内的 IP/CDN 节点来提供 QUIC 服务比如：
[*]Google、Facebook 使用中国中转节点；
[*]Cloudflare、Akamai 的节点很多注册在国内；
[*]某些** App 会使用国内 IP 作为中转发起 QUIC；
这时候你把 GEOIP,CN 的 QUIC 全部放行，会出现：本来你想拦的敏感 App 走了国内 IP + QUIC，被你放行了，绕过了代理。等于把“淘宝白名单”变成了“国家白名单”，放得太宽。”


纠结：于是就陷入了迷茫，一方面是surge官方说quic连接强烈建议拒绝，不然会严重影响代理效率；一方面是chat**说这样的分流不够精准会导致国外服务出现代理问题。但淘宝app这些quic连接又全是不一样的ip地址，没法用ip段和关键词分流


求助：坛里有没有高手给个更合理的分流，或者看看有没有其他方式解决淘系app连接慢的问题

ConverSun 发表于 2025-7-8 18:43

拦截了好像是比较麻烦，而且拦截的规则一般还在前面，我现在参考的是sukka的规则，chinaip可以分流到uqic

ConverSun 发表于 2025-7-8 18:45

供参考

pdvc 发表于 2025-7-8 20:01

surge6不是支持udp over udp了么，可以试试了

litel 发表于 2025-7-8 23:43

手机装app啊。。。按应用分流

dogmeat 发表于 2025-7-9 00:30

ConverSun 发表于 2025-7-8 18:45
供参考

感谢，我试试这套规则

dogmeat 发表于 2025-7-9 00:31

litel 发表于 2025-7-8 23:43
手机装app啊。。。按应用分流

是安卓手机，好像不安装手机surge没法识别出具体是哪个应用的请求

dogmeat 发表于 2025-7-9 00:33

pdvc 发表于 2025-7-8 20:01
surge6不是支持udp over udp了么，可以试试了

还没收到更新，那可以期待一波

gdyan2020 发表于 2025-7-9 00:56

用surge 6+snell 5的QUIC proxy mode会被QoS死的，国内运营商对白名单外udp感觉qos很 严重。 所以，国内直连的域名用QUIC，其他不用。 方法是把
AND ((GEOIP,CN),(PROTOCOL,UDP),(DEST-PORT,443)) DIRECT
AND ((PROTOCOL,UDP),(DEST-PORT,443)) REJECT-NO-DROP
类似的规则都删掉。
在里面加入 block-quic = all-proxy
根据manual里面解释：

per-policy: Determined by the policy's block-quic parameter, default value, i.e., current version behavior.

all-proxy: Overrides the proxy policy's block-quic parameter, blocks all

all: Overrides all policies' block-quic parameters, blocks all including DIRECT policy

always-allow: Overrides the proxy policy's block-quic parameter, allows all

all-proxy应该是把proxy里面除了Direct的quic都block

litel 发表于 2025-7-9 08:01

dogmeat 发表于 2025-7-9 00:31
是安卓手机，好像不安装手机surge没法识别出具体是哪个应用的请求

安卓不是都用那个猫猫的吗。。。

VariedValiance 发表于 2025-7-9 08:32

litel 发表于 2025-7-9 08:01
安卓不是都用那个猫猫的吗。。。

楼主是苹果手机……[再见]

煎饼果子chh 发表于 2025-7-9 08:37

像看天书，感觉都不在一个位面

litel 发表于 2025-7-9 08:46

VariedValiance 发表于 2025-7-9 08:32
楼主是苹果手机……

他说是安卓手机啊

remidre 发表于 2025-7-9 10:53

开启进程匹配，规则改成AND,((OR,((GEOSITE,CN),(GEOIP,CN))),(NETWORK,UDP),(DST-PORT,443),(PROCESS-NAME,com.taobao.taobao)),REJECT

steel911 发表于 2025-7-9 11:35

怪不得, 开**, 淘宝和JD图片刷不出来, 原来是用quic协议被blocked了

remidre 发表于 2025-7-9 13:28

steel911 发表于 2025-7-9 11:35
怪不得, 开**, 淘宝和JD图片刷不出来, 原来是用quic协议被blocked了

你这不一回事，自己管理app名单

llwin 发表于 2025-7-9 14:05

我都是在主路由里封掉UDP443端口

luigian 发表于 2025-7-9 14:15

悲哀，我们总是被动的把时间花在处理垃圾问题上。[困惑]

一个蛋上七朵花 发表于 2025-7-9 14:24

remidre 发表于 2025-7-9 13:28
你这不一回事，自己管理app名单

圈X可以分app吗

remidre 发表于 2025-7-9 15:21

一个蛋上七朵花 发表于 2025-7-9 14:24
圈X可以分app吗

不晓得，我安卓机，用flclash

欧买尬oh 发表于 2025-7-9 16:42

我也有这个问题，我的软路由开的openClash，狗东和淘宝就打开图片特别慢

查看完整版本: 如何精准分流淘宝app的QUIC连接