快连macOS端如何启用分应用代理并排除本地地址？

功能定位：为什么需要「分应用代理」与「本地绕过」

在 macOS 上，快连 privacy tool 的「分应用代理」（Split-App）允许把指定 App 的流量送进加密隧道，其余流量仍走本地网络；而「本地地址排除」则进一步把 192.168.0.0/16、10.0.0.0/8 等私有段完全绕过隧道，确保打印机、NAS、公司 GitLab 等内网服务不受影响。两者组合，既解决了「海外会议卡顿」，又保留了「局域网设备秒连」的体验。

经验性观察：若不做本地排除，macOS 会把所有流量先送进虚拟网卡，再回注到本机 socket，结果局域网广播（如 AirDrop、HomeKit 发现）被拦截，设备列表瞬间清空。分应用代理则把「仅需要加速的 App」挑出来，减少 CPU 轮询与路由表条目，电池续航在轻度办公场景下可感知地延长。

版本与入口前提

截至当前的最新版本（v6.3.0，2026-03-31 发布）在 macOS 11 及以上均提供完整 UI；macOS 10.15 需手动编辑 plist 文件，官方已声明「后续不再维护 10.15」。下文路径以 macOS 14 系统语言「简体中文」为基准，若系统为英文，菜单名一一对应即可。

最短可达路径：三步启用分应用代理

1. 打开主面板

屏幕右上角状态栏点击 快连图标 →「打开主面板」→ 左侧边栏切换到「智能分流」。

2. 选择应用模式

在「分流模式」区块，单选「仅代理选中 App」（对应英文 Only selected apps）。此时下方出现「+ 添加应用」按钮。

3. 添加目标 App

点击「+」→ 在弹出 Finder 窗口中定位到「/Applications/」目录 → 选中 Zoom、Teams、Chrome 等需要加速的 .app → 点击「打开」。列表即时刷新，规则 0.1 秒热生效，无需重启 privacy tool。

本地地址排除：一键开关与自定义

1. 启用默认本地绕过

在同一「智能分流」页，向下滑动至「本地网络绕过」卡片 → 打开「自动排除常见私有地址」开关。系统会立即注入三条静态路由：

192.168.0.0/16 → direct
10.0.0.0/8     → direct
172.16.0.0/12  → direct

此时再访问「192.168.1.1」路由器管理页，TTL 不再+1，说明流量未进隧道。

2. 追加自定义网段

若公司内网使用 100.64.0.0/10（常见于运营商级 NAT），点击「自定义地址」→「+ 添加」→ 输入「100.64.0.0/10」→ 保存。可叠加多个条目，无数量上限。

验证与回退：确保规则按预期生效

1. 实时验证

打开终端，执行

netstat -rn | grep -E "192.168|10\.0|172.16"

若看到「link#X」直接出口，而非「utunX」，则排除生效。再执行

curl -m 5 https://ipinfo.io

确认出口 IP 为隧道地址；随后

curl -m 5 --interface en0 http://192.168.1.1

可直达路由器，说明本地流量未被劫持。

2. 快速回退

若发现内网打印机突然失联，回到「智能分流」页 → 关闭「分应用代理」总开关 → 规则立即清空，无需重启系统。也可单独删除误加的 App，操作可逆。

常见分支：域名分流与 IP 分流能否叠加？

经验性观察：在 v6.3.0 中，「分应用」与「域名/IP 分流」属于同级策略，最终路由以「最宽松」为准。举例：若 Chrome 既被加入分应用列表，又被 *.googlevideo.com 域名规则设为直连，则实际走直连；但若同一域名规则设为代理，而 Chrome 不在分应用列表，则域名规则不生效。官方尚未提供优先级面板，建议「先圈定 App，再补域名例外」，减少冲突。

副作用与缓解

副作用：部分 App 采用多进程架构（如 Edge 的 GPU 沙盒），子进程路径不在列表，会被视为「未选中」而走直连，导致「网页能开但视频缓冲」。缓解：在「活动监视器」找到子进程绝对路径，手动添加。
副作用：Steam 下载走代理后，内容服务器可能把账号判定为「异地登录」，触发安全校验。缓解：在分应用列表中给 Steam 加两条规则，一条代理、一条直连，利用「区域切换」按钮临时启用。

不适用场景清单

场景	原因
macOS 10.14 及以下	系统缺失 Network Extension 框架，无法注入静态路由
需要全局抓包审计	分应用代理会绕过未选中流量，导致审计日志不完整
公司强制全局代理	本地排除后，内网 Git 仓库流量直连，违反安全策略

最佳实践 5 条

先列「必须加速」的清单，再反选其余，避免「全选后逐一剔除」导致遗漏系统服务。
每新增一款 App，先在「活动监视器」确认其主进程路径是否位于 /Applications，防止添加 .app 内的 Helper 导致失效。
内网使用 802.1X 认证时，把「系统设置」→「网络」→「Ethernet」排除在代理外，否则认证包被送进隧道，交换机无法识别 MAC。
定期用 route monitor 观察后台是否被其他 privacy tool 配置覆盖，发现「utun」序号跳变即重启快连服务。
若需远程给同事演示，提前把「本地排除」截图保存为 PDF，避免现场切换网络后规则被重置而手忙脚乱。

FAQ（使用 FAQPage Schema）

分应用代理里找不到 Safari 怎么办？

Safari 属于系统级 App，路径在 /System/Applications。点击「+」后，用快捷键 Cmd+Shift+G 手动输入路径即可添加。

规则突然失效，本地地址也进了隧道？

经验性观察：macOS 更新安全补丁后会重置网络扩展权限。解决：系统设置 → 隐私与安全 → 网络扩展，重新勾选「快连」并重启软件。

能否导入第三方规则 YAML？

当前版本 UI 未提供导入按钮，可在 ~/Library/Group Containers/快连组别/Library/Preferences/ 目录找到 splitapp.plist，手动合并后重启客户端，但官方不保证向后兼容。

下一步行动

完成以上设置后，建议立即用内网打印与 4K 会议各做一次「双开」测试，确认无冲突后，把「智能分流」页截图存档。若公司网络策略调整，只需回到同一页面关闭总开关，即可在 10 秒内恢复全局代理，真正做到「进可攻、退可守」。未来版本若开放「策略优先级」面板，可再评估是否将域名规则与分应用策略混编，以进一步细化流量路径。

📺 相关视频教程

赛博慈善家：Cloudflare WARP+满血复活！新MASQUE协议助你轻松翻墙！免费获取warp+ plus key的方法