起因:小弟一直用mac surge开网关模式做旁路由代理家里的连接,但总觉得手机开淘系app时比不用旁路由时慢一截。今天仔细在surge连接查看器里查连接,发现quic请求都被REJECT-NO-DROP了,然后把相关规则给关掉后,淘系app果然速度起飞了。
于是写了两个规则来保障QUIC连接的分流:
AND ((GEOIP,CN),(PROTOCOL,UDP),(DEST-PORT,443)) DIRECT
AND ((PROTOCOL,UDP),(DEST-PORT,443)) REJECT-NO-DROP
但发给chat**时被攻击了:“❌ 问题 3:这样放行所有 CN IP 的 QUIC 是否安全?(风险)这其实是你原先“IP 不够全面”问题的变体,但这招只是“扩大通行证”,它的问题在于: ✳️ 很多国外服务(如 YouTube、Twitter)也会通过国内的 IP/CDN 节点来提供 QUIC 服务比如: Google、Facebook 使用中国中转节点; Cloudflare、Akamai 的节点很多注册在国内; 某些** App 会使用国内 IP 作为中转发起 QUIC;
这时候你把 GEOIP,CN 的 QUIC 全部放行,会出现: 本来你想拦的敏感 App 走了国内 IP + QUIC,被你放行了,绕过了代理。
等于把“淘宝白名单”变成了“国家白名单”,放得太宽。”
纠结:于是就陷入了迷茫,一方面是surge官方说quic连接强烈建议拒绝,不然会严重影响代理效率;一方面是chat**说这样的分流不够精准会导致国外服务出现代理问题。但淘宝app这些quic连接又全是不一样的ip地址,没法用ip段和关键词分流
求助:坛里有没有高手给个更合理的分流,或者看看有没有其他方式解决淘系app连接慢的问题
| 
310112100042806
发表于 2025-7-8 17:00