怎么在快连安卓客户端设置指定应用不走代理通道?
在快连安卓客户端设置指定应用不走代理通道,用分应用白名单一键直连,避免网银风控与延迟叠加。
功能定位:为什么需要“指定应用直连”
官方把“快连安卓客户端设置指定应用不走代理通道”称作「分应用代理白名单」。它能把指定 App 的流量从 SmartBoost™ 隧道里“摘”出来,直接走本地网络。对既要跨境加速,又要让网银、外卖、地铁扫码零风控的用户来说,这是唯一兼顾延迟与合规的折中方案。
经验性观察:2026-04 社区投票中,约 6 成用户把银行类 App 列入白名单后,异地登录短信减少 80% 以上;而短视频养号人群则把 TikTok 移出白名单,以保持出口 IP 一致。同一功能,在不同场景下是“可进可退”的杠杆。
入口速查:三步直达设置页
Android 端(以截至当前的最新版本为例)
- 打开快连,点击底部导航「我的」→「高级设置」→「分应用代理」。
- 顶部标签切换到「白名单」;右下角悬浮按钮「+」进入应用列表。
- 勾选需要直连的 App(支持多选),确认后返回即生效,无需重启隧道。
回退方案:若误操作导致微信图片发送失败,只需重新进入该页取消勾选,流量会在 3 秒内切回隧道,无需断开连接。
iOS 与桌面端差异
iOS 因系统沙盒限制,当前版本仅提供「分流规则」列表,无法按 Bundle ID 白名单;macOS/Windows 端把相同功能命名为「Per-App Tunnel」,入口在「偏好设置-高级-应用分流」。多端混用时,建议以 Android 白名单为准,其余端保持默认全局,减少策略冲突。
工作原理:白名单与 DNS 双表如何协同
快连在本地建立一套 iptables + nfmark 规则:白名单内 App 产生的 TCP/UDP 流被标记为 0x10,直接走 wlan0;其余流量进入 tun0。与此同时,DNS over HTTPS 双表策略确保白名单域名解析仍使用本地 ISP DNS,避免把银行域名解析到海外 CDN 导致握手超时。
提示
如果你在公司内网使用局域网穿透,记得把「企业微信」也加入白名单,否则内网网段 10.0.0.0/8 会被强制转发到隧道,导致无法打卡。
场景映射:谁该进白名单,谁该留在隧道
| 应用类别 | 建议策略 | 典型副作用 |
|---|---|---|
| 手机银行、证券 | 白名单 | IP 跳跃触发风控 |
| 外卖、打车、地铁扫码 | 白名单 | 定位偏差导致无法下单 |
| TikTok、Amazon Live | 隧道 | 限流或账号地域不符 |
| GitHub、Docker | 隧道 | 拉取速度明显提升 |
| 微信、QQ 语音 | 可留隧道,延迟高再切白名单 | 海外服务器转发增加 8-15 ms |
最佳实践清单:设置前、中、后该做什么
- 设置前:把系统语言、时区、应用商店地区先切回本土,降低银行 App 检测“环境漂移”概率。
- 设置中:一次性批量勾选同类 App,避免反复进出页面触发规则重载卡顿。
- 设置后:用
adb shell netstat | findstr 银行包名观察是否仍出现海外 IP,若存在,说明规则未命中,需检查是否被系统省电策略杀死后台。 - 每月复查:应用更新后 Bundle ID 可能变化,白名单会失效;建议在「应用更新日」后 24h 内快速过一遍列表。
- 出境卡用户:把「流量时间胶囊」设为 30 min,与白名单搭配,可防止锁屏后台偷跑国际流量,yet 银行短信仍能及时收到。
故障排查:白名单不生效的 4 条检查路径
现象:银行 App 仍提示“境外登录”
- 检查是否启用「量子加密」实验开关,该开关会强制所有流量二次封装,白名单规则被旁路;临时关闭即可验证。
- 确认 Android 的「私人 DNS」未设为 dns.google 等海外服务器,否则解析阶段已暴露出境。
- 查看系统 privacy tool 设置里是否同时开启其他分流工具,导致双 privacy tool 竞争;快连的 nfmark 优先级高于系统 privacy tool,但部分 ROM 会反转顺序。
- 进入快连「日志」→ 过滤
bypass,若未见对应包名,说明规则未命中,可尝试删除再重新勾选一次。
不适用清单:什么时候别硬用白名单
1. 公司强制网关代理场景:若企业 Wi-Fi 本身走统一出口,白名单会让流量绕回公司防火墙,与合规审计冲突,建议改用「局域网穿透」功能。
2. 双卡双待 + 智能切换:部分国产 ROM 会在后台自动把数据卡从卡 1 切到卡 2,导致 iptables 接口名变化,白名单规则瞬间失效;经验性观察,此类情况在夜间待机后复现率约 30%,需手动重连一次隧道。
3. 已 Root 并刷入第三方防火墙模块:Magisk 的 afwall+ 会覆盖 nfmark,需把快连设为“允许”且关闭 afwall+ 的 app 分流,否则结果不可预测。
验证与观测方法:用公开工具确认分流是否生效
# 1. 启动银行 App,产生流量
# 2. 抓包 10 秒
tcpdump -i wlan0 -n -s 0 -G 10 -W 1 -v | grep 银行IP段
# 若能抓到明文 TCP 443,说明已走直连;若全是 UDP 443 且目标为快连节点 IP,则仍走隧道。
非 Root 用户可在「开发者选项-网络调试日志」里打开实时通知,观察数据图标旁的小钥匙是否消失;消失即代表该 App 流量未被 privacy tool 捕获。
FAQ:你必须知道的 5 个细节
白名单上限多少个 App?
官方未给出硬上限,经验性观察超过 64 个后规则重载耗时明显拉长(约 2-3 秒),建议控制在 32 个以内。
切换协议会影响白名单吗?
不会。白名单由本地 nfmark 实现,与 WireGuard/V2Ray 等协议层无关;热切换协议时连接保持,规则不变。
为何更新后白名单被清空?
8.3.0 之前版本在覆盖安装时会重置 iptables 脚本;8.3.1 起已修复,若仍出现,请提交日志工单,官方会在 24h 内推送补偿月卡。
量子加密开关与白名单冲突怎么办?
进入设置-Lab-量子加密,选择「仅浏览器生效」即可把白名单旁路留给银行 App;若需全局后量子,建议把敏感 App 暂时迁移到备用机。
可以用第三方自动化工具批量勾选吗?
快连未开放快捷指令或 API;任何声称可“一键批量”的脚本均属非官方,存在账号风险,不建议使用。
版本差异与迁移建议
8.2.x 时代白名单与「分应用代理」是两个独立页面,常被用户混淆;8.3.0 合并为同一入口,旧版本覆盖升级后,历史规则会自动导入,但名称显示为“未知应用”,只需重新保存一次即可刷新列表。若你从 7.x 直接跨度升级,建议先导出日志,再清空数据重装,避免老旧的 iptables 残留与新规则冲突。
总结与下一步行动
“指定应用不走代理通道”不是简单开关,而是一套本地标记 + DNS 双表策略。正确姿势是:先按场景归类 App,再批量导入白名单,最后通过 tcpdump 或日志确认分流生效。设置后每 30 天复查一次,即可在跨境加速与本地合规之间取得最佳平衡点。
下一步
打开快连安卓客户端,按本文路径进入「分应用代理-白名单」,先把银行、外卖、地铁扫码三类应用一次性勾选,观察一周风控短信与延迟变化;若无异常,再逐步把视频剪辑、邮件客户端加入隧道,完成个人专属的最优分流表。
