MAICOO

我为什么要建立自己的博客？

Fri, 07 May 2021 00:00:00 +0000

提高将事情讲清楚的能力

在写博客之前你需要花更多的时间来表达出你的想法，表达你想法之前你得先对你要表达的东西充分理解并理清思路和逻辑。

很多东西你以为懂了，但当你在写下来的时候，你就觉得无从下手了。

如果一件事情你不能讲清楚，十有八九你还没有完全理解。

分享带来的连锁反应

“通过分享，你获得了直接而快速的回报，你最终或许会发现你已将版权和“保留所有权利”抛诸脑后。新的经济学准则是：参与你作品的人越多，回报越高。在分享主义里，如果你愿意你可以保留所有权，但是我乐于分享。” by 毛向辉《分享主义：一场思维革命》

记录成长

我们每个人都应该有这样的经历:隔了很久我们回头看看以前的自己会发现特别傻x,但正是因为这些傻x的岁月让我们不断成长,你在成长的过程中不断的修正自己的错误。

探索未知的世界

世界不止是你的家，你的公司，你的朋友圈，你应该去发现一个更大的世界，通过写博客，你会知道世界上还有很多人像你一样在写博客，这些人和知识正在世界的某个角落在等着你。

帮助更多想要获取帮助的人

这点我相信大家由为感触,在你探索一个未知的知识领域的时候,往往被撞的一鼻子灰.幸运的人很快就能找到一个“师傅”或一篇很好的文章,但大多数往往在找“教程”的过程中就已经放弃了.因为他们没能够找到刚好理解的文章.

Surge - 转发，策略和规则

Fri, 07 May 2021 00:00:00 +0000

请求在处理完毕后将被转发。如果 Surge 的出站模式设置为直接连接，那么该请求将被直接发往目标服务器，如果出站模式设置为全局代理，那么将转发给代理服务器。

当出站模式设置被设置为规则判定时，将根据配置的规则决定转发策略。

策略

策略：描述了 Surge 进行转发的方式，有三种类别：

内置策略：DIRECT、REJECT、REJECT-TINYGIF、REJECT-DROP
代理策略：每个策略对应一个代理服务
策略组：根据一定的规则从子策略中选择一个最终策略。

内置策略

内置策略由 Surge 提供，不随配置而变化：

DIRECT：将该请求直接发往目标服务器
REJECT：拒绝该请求，当连接类型为 HTTP 时，会返回一个错误页面。（该行为可被 show-error-page-for-reject 参数控制）
REJECT-TINYGIF：拒绝该请求，当连接类型为 HTTP 时，返回一个 1px 的 GIF 图片响应。若为其他类型连接则直接断开。该策略主要用于 Web 广告屏蔽。
REJECT-DROP：拒绝该请求，与 REJECT 不同的是，该策略将静默抛弃请求。因为部分程序有着十分暴力的重试逻辑，连接失败后会立刻进行重试，导致请求风暴。

由于操作系统对用户空间程序（user-space program）的 socket 并没有提供抛弃的操作，Surge 静默抛弃的实现方式是将该 socket 闲置一段时间后再关闭。

同时，如果发往某主机名的请求短时间内大量触发 REJECT/REJECT-TINYGIF 策略（当前版本的阈值为 30 秒内 10 次），为了避免产生大量资源浪费，Surge 将自动升级策略为 REJECT-DROP 策略。

代理策略

代理策略由用户自己定义，每个策略描述了一个代理服务，当使用该策略时即为通过该代理服务转发请求。

一个简单的代理策略定义行如下：

[Proxy]
ProxyA = http, 11.22.33.44, 8080, username=user, password=pass

目前大多数用户都是用机场订阅，这里也就放个内置策略自定义别名（栗子如下）或者自建玩家放置服务器节点。

[Proxy]
# 当请求为 HTTP 请求时返回一个极小的 GIF
REJECT-TINYGIF = reject-tinygif
# 阻止请求
REJECT = reject
# 直接连接
DIRECT = direct

[Rule]
IP-CIDR,0.0.0.0/32,REJECT,no-resolve
OR,((RULE-SET,LAN), (GEOIP,CN)),DIRECT

策略组

Surge 提供多种不同类型的策略组以满足各种场景的不同需求，在具体讲解各种策略组前，需要先了解连通性测试。

连通性测试

Surge 的多个功能会用到连通性测试，测试方式有 3 种

ICMP Ping 测试：简单的 Ping 测试，用于反映当前物理网络状况。Mac 版本首页卡片和网络诊断中的路由延迟为该测试结果。
DNS 查询测试：向所有 DNS 服务器并行查询 bing.com 域名的 A 记录，结果为收到响应的最短时间，用于反映当前物理网络状况，同时简单确认具有 Internet 访问。Mac 版本首页卡片和网络诊断中的 DNS 延迟，Mac 版本主菜单和 iOS 版本通知中心插件的连通性测试延迟为该测试结果。
HTTP 测试：向目标 HTTP 服务器发出 HEAD 请求，计算收到响应头的时间，任意响应数据包均判定为有效。测试地址可自定义，建议选择在全球都有节点的 URL。Mac 版本首页卡片的 Internet 和代理延迟，策略组的判断基准，网络诊断的代理测试为该测试结果。

策略组使用方法 3 作为判断基准而非方法 1 是因为：

代理服务器可能有中转，Ping 测试只能表示到达中转服务器的延迟。
除了与代理服务器间的连通性，代理服务器的 DNS 和出口网络情况也应该进行考量。
某些代理协议因设计欠考虑，会引入额外的延迟开销，如 SOCKS5，也应当被考量。

一个策略组可以包括多个子策略

子策略可以是一个代理策略，或者另一个策略组，或者是一个内置策略 (DIRECT 或 REJECT)。

有 5 种策略组类型: select, url-test, fallback, ssid 和 load-balance

select 策略组

通过 UI 菜单选择一个策略，举个栗子：

[Proxy Group]
Proxy🪁 = select, 🇺🇸 America, 🇭🇰 Load balance
🇺🇸 America = url-test, policy-path=https://sub.store/download/STT, interval=600, tolerance=100, evaluate-before-use=true
🇭🇰 Load balance = load-balance, policy-path=https://sub.store/download/STT, interval=600, tolerance=100, persistent=true

[Rule]
FINAL,Proxy🪁

如上栗子表示这个配置有两条外部代理服务器链接，策略组 Proxy🪁可以在两者之间通过 UI 手动选择；

默认规则 FINAL 随策略组 Proxy🪁 的选择而被约束。

url-test 策略组

并发测试所有子策略，选择延迟最低的策略。有以下几个参数

url：用于测试的 URL（该参数新版 Surge 已无需在策略组中添加）。
timeout：可选, 秒 (默认值: 5s)，测试的最长等待时间。如果某策略在该时间后依然没有完成，放弃该策略。
interval：可选, 秒 (默认值: 600s) 每次测试的间隔时间。指定在多长时间后，上次的测试结果将被抛弃。所有类 url-test 组的测试时机为：
首次使用时进行测试。
后续使用该策略组时，如果上次测试的时间间隔已大于 interval 设置时间，则再次触发测试。
当目前选中策略产生不可恢复性错误时，直接触发测试。
网络切换后，将清理之前的测试结果，当策略组被使用时触发首次测试。
tolerance：可选, 毫秒 (默认值: 100ms) 容忍度，如果某几个策略测试结果相差不大，那么会导致在这几个策略中频繁切换，如果策略的代理服务器的出口 IP 不同，可能会触发目标网站的风险控制。所以加入了容忍度设计，仅当新一次的测试结果中，最佳策略比原选中策略的延迟差大于容忍度时，才会切换至新的策略。
evaluate-before-use：默认情况下，在首次使用策略组时将直接使用子策略中的第一个策略，同时触发延迟测试。如果配置了 evaluate-before-use=true，那么首次使用时将等待测试完毕后选择最佳策略。

[Proxy Group]
🇺🇸 America = url-test, policy-path=https://sub.store/download/STT, interval=600, tolerance=100, evaluate-before-use=true

[Rule]

Surge 新版本 URL 测试使用全局测试，在设置中添加测试 URL 即可，策略组中无需单独加入。

fallback 策略组

与 url-test 组基本一致，区别是只关心子策略是否可用而不关心具体延迟，然后从可用策略中选择靠前的策略。可以通过调小 timeout 参数将缓慢线路也标记为不可用。该类型没有 tolerance 参数。

[Proxy Group]
# 调小 timeout 参数
🇨🇳 Fallback = fallback, policy-path=https://sub.store/download/STT, timeout=3, interval=600, evaluate-before-use=true
[Rule]

load-balance 策略组

负载均衡组，随机从子策略中选取一个策略使用。

使用 [General] url 参数时，按照 fallback 组的行为进行可用性检查，然后仅从可用的子策略中随机选取。

除 url、timeout、interval外，还有一个参数：

persistent：当 persistent=true 时，对于同一目标主机名，将尽量使用同一个策略。避免因出口 IP 不同而触发目标网站的风险控制。但当可用性改变时可能导致策略变化。

[Proxy Group]
# 配置 persistent=true 参数，避免 IP 跳动引发风险控制
🇸🇬 Singapore = load-balance, policy-path=https://sub.store/download/STT, interval=600, tolerance=100, persistent=true
[Rule]

ssid 策略组

虽然名字依然是 SSID 策略组，但是功能已经扩展，可根据当前网络的 SSID、BSSID、路由 IP 地址等因素选择子策略。iOS 版本还可以为数据网络指定策略。

[Proxy Group]
Adblock = ssid, default = REJECT, "SSID Here" = DIRECT

[Rule]
RULE-SET,https://www.example.com/reject.list,Adblock
FINAL,DIRECT

如上示例，规则中添加了一条被拒绝规则集，该规则集没有直接指定内置 REJECT 策略，而是添加了一个 Adblock 的 SSID 策略组，表示在默认情况下它是一个 REJECT 策略，但在 SSID 为 “SSID Here” 的网络下使用直连策略。

策略组其它参数（隐藏、禁用通知、过滤器）

[Proxy Group]
# 参数 hidden=true 隐藏该策略组，在 UI 界面将不被展示
# 参数 no-alert=true 禁用策略组变化通知
# 参数 policy-regex-filter=台湾 节点过滤器，表示这条订阅中筛选出台湾节点
🇨🇳 Fallback = fallback, policy-path=https://sub.store/download/STT, policy-regex-filter=台湾, timeout=3, interval=600, hidden=true, no-alert=true

规则

规则由四个部分组成：类型、条件、策略和参数。当条件满足时，该规则匹配，使用该规则指定的策略。

Surge 使用规则系统来对选择每个连接的出口策略。规则的匹配方式为自上而下，逐一测试。最末尾规则一定是一个 FINAL 规则，当所有规则都不匹配时使用。

域名规则

当连接的目标主机名符合时，匹配该规则。

DOMAIN：严格匹配某域名。
DOMAIN-SUFFIX：匹配某域名及其子域名，如 DOMAIN-SUFFIX,apple.com 可以匹配 apple.com 和 www.apple.com，但是不会匹配 anapple.com。
DOMAIN-KEYWORD：简单的字符串搜索，只要域名包含子串就会匹配。
DOMAIN-SET：专为大量域名集列表文件设计，支持上万条记录的快速查询。文件中每行为一个域名，如果某行以 . 开头则表示匹配所有子域名和该域名本身。可用于广告过滤。

IP 地址规则 IP-CIDR，IP-CIDR6，GEOIP 三种类型

当连接的目标主机的 IP 地址符合时，匹配该规则。

当目标主机名是一个域名或主机名时，IP 类型规则会触发本地 DNS 解析。根据解析得到的 IP 地址进行判断。当解析失败时：如果最终的 FINAL 规则带有 dns-failed 标记，那么将直接匹配 FINAL 规则。如果 FINAL 规则不带有 dns-failed 标记，该请求将直接失败。

IP 类型规则有一个专有的参数 no-resolve，如果一个 IP 规则带有该参数，那么 1. 如果目标主机名是一个域名，那么将跳过该规则，不触发 DNS 解析。 2. 如果目标主机名是 IP 地址，按规则进行判断。 3. 如果目标主机名是一个域名，且先前出现的 IP 规则已经触发了 DNS 解析获得了 IP 地址，那么使用该 IP 地址进行判断。

由于 DNS 查询有时间开销，所以在配置规则时，最优的方式是尽量先不触发 DNS 解析，将所有会触发 DNS 解析的规则放在底部。这样应使用代理策略的请求就完全避免了在本地进行 DNS 解析。

但是也不用刻意的去完全避免解析，因为一旦决定使用 DIRECT 策略，那么最终还是要进行解析。Surge 有完备的 DNS 缓存系统，不必在意短时间内的重复解析。

不过需要注意，如果某目标主机在本地 DNS 不可被解析，那么一定需要加入对应的规则，在触发 DNS 前就决定策略终止匹配。或者对 FINAL 规则加上 dns-failed 标记并使用代理策略。

HTTP 规则 URL-REGEX 和 USER-AGENT

比较特殊的是，只有由于只有进行 MITM 解密后才可获取到 URL，所以 URL-REGEX 对未解密的 HTTPS 连接无效。但是 USER-AGENT 规则却对未解密的 HTTPS 也连接有效，因为程序在使用 HTTP 代理时，会在发送 CONNECT 请求时带上自己 User Agent 的明文。

[Rule]
# 微信的 USER-AGENT
USER-AGENT,MicroMessenger Client,DIRECT
USER-AGENT,WeChat*,DIRECT

其他规则

PROCESS-NAME：仅对 Mac 版本有效，可以匹配程序名。
SRC-IP：仅对 Mac 版本有效，可匹配连接来源 IP 地址，接管其他设备连接时可使用。
IN-PORT：仅对 Mac 版本有效，Mac 版本支持多端口监听，可为不同监听端口配置特定的规则。
DEST-PORT：可匹配目标主机的端口号，当目标主机端口号一致时匹配。
PROTOCOL：可根据连接的协议进行匹配，取值范围是 HTTP，HTTPS，TCP，UDP。（虽然逻辑关系上 HTTP 和 HTTPS 都是 TCP 的一种特殊形式，但是该规则将按照前一章的分类区别对待。）
SCRIPT：可以使用 JavaScript 根据各种参数完全自由的选择策略。
SUBNET：当 Wi-Fi SSID/BSSID、路由器 IP 地址匹配时匹配。

蜂窝网络类规则 CELLULAR-CARRIER 和 CELLULAR-RADIO

CELLULAR-CARRIER：当数据网络的 MCC-MNC 编码一致时匹配，编码必须以 xxx-xx 的格式输入，当使用 Wi-Fi 网络时该规则无效。
CELLULAR-RADIO：当数据网络的无线电接入符合时匹配，可选参数 GPRS, Edge, WCDMA, HSUPA, CDMA1x, CDMAEVDORev0, CDMAEVDORevA, CDMAEVDORevB, eHRPD, HRPD, LTE, NRNSA, NR, 当使用 Wi-Fi 网络时该规则无效。

Surge 查看当前蜂窝网络 CELLULAR-CARRIER 和 CELLULAR-RADIO 方法：在脚本编辑器输入如下字符，然后点击执行，即可看到日志记录。

console.log($network)
$done()

规则集

RULE-SET 规则集可以将多个子规则放在一个单独的文件中，便于分享和复用。但是规则集中的规则不可以指定策略，整个规则集指向一个同一个策略。

另外 Surge 自带了 SYSTEM 和 LAN 两个规则集，规则集包含的具体子规则会随 Surge 更新而有所调整。注意 LAN 规则集会触发 DNS 解析。

[Rule]
RULE-SET,SYSTEM,DIRECT
RULE-SET,LAN,DIRECT

RULE-SET 和 DOMAIN-SET 的不同

RULE-SET 可包含所有类型的子规则，执行效率和在主配置中的规则没有区别，而 DOMAIN-SET 仅可使用 DOMAIN 和 DOMAIN-SUFFIX 两种形式的内容，使用了特别的逻辑进行优化，在内容非常多时性能有极大的提升。（千条以上，否则两者没有太大的区别）

逻辑规则

可通过 AND，OR，NOT 运算对所有规则类型进行组合使用。如

[Rule]
# 可以拦截 Chrome 发出的 UDP 数据包
AND,((PROCESS-NAME,Google Chrome),(PROTOCOL,UDP)),REJECT

详见

Surge - 轻松访问家中的网络设备

Thu, 06 May 2021 17:00:00 +0000

相信各位在自己的家中都有一些长期联网的设备，在外出时可能需要访问，比如 NAS 等，通常有两个方式实现：

直接设置 NAT 端口转发：配置简单，但是问题在于直接将相应的服务暴露在公网上，安全性很低，且当增加服务时需要不断去维护端口转发表。
架设 VPN 服务器：配置起来比较麻烦，但是安全性高，连上之后可以直接访问内网内所有设备。但是 VPN 发动慢，容易失败，性能较差。利用 Surge iOS，可以做到无缝的远程安全访问内网设备。

首先我们需要做好以下准备：

内网中需要一个可以运行代理服务器的设备（如 RaspberryPi、路由器、iMac Mini）
DDNS 服务及客户端（DSM 可作为客户端，很多路由器也支持，服务推荐使用花生壳或 no-ip.com）

正式开始：

请将内网的网段修改为一个不常见的网段，以避免与在外使用的 WiFi 网络的内网 IP 冲突导致问题，如 192.168.0.1/24 和 192.168.1.1/24 就是两个极为常见的网段，而 192.168.150.0/24 则很罕见，修改方式请参照路由器的配置说明。
我们需要在内网建立一个代理服务器，如果在家中有一个长期开启的 macOS 设备，推荐直接使用 Surge Mac 运行 Snell 代理服务，配置方式参见手册，https://manual.nssurge.com/others/snell-server.html。如果没有，则可以选择任意设备，配置运行 snell-server 或者 ss-server，具体配置方式请参见程序的帮助。此处假设该设备 IP 为 192.168.150.4，代理服务端口号 6160。
配置路由器，将 6160 端口的 TCP 访问转发至 192.168.150.4 的 6160。
配置一个 DDNS，获得指向家中 IP 的域名，如：home.yach.me
配置 Surge 规则，首先加入相应的 Proxy 设置

[Proxy]
HomeProxy = snell, home.yach.me, 6160, psk=password

为了在内网中使用时，不再通过代理进行转发，可以使用 SSID Group。

[Proxy Group]
Home=ssid, default=HomeProxy, HomeSSID=DIRECT, HomeSSID2=DIRECT

最后加入相应的规则

[Rule]
IP-CIDR,192.168.150.0/24,Home,no-resolve

搞定，启动 Surge。现在在任何地方访问家中的设备都畅通无阻了。

注 1：不要使用 home.yach.me 这样的容易猜测的域名，有导致自己的公网 IP 暴露的可能性。

记录几个博客常用 App

Thu, 06 May 2021 14:00:00 +0000

MacDown

可能是 Mac 上最简单的 markdown 编辑器

什么是 MacDown？

MacDown 是 macOS 的开源 Markdown 编辑器，根据MIT许可证发布。UI 如下图：

iPic

Markdown 图床、文件上传工具

有了图床神器 iPic，不论屏幕截图、还是复制图片，都可以自动上传、保存 Markdown 格式的链接，直接粘贴插入，够懒人吧？

使用 Hexo

Heroku 或 WordPress 写博客、在公众号发文章、在知乎讨论、在豆瓣灌水、在论坛发帖、跨境做外贸电商 …

iPic 带给你从未有过的插图体验。

当然，除了图片，你可以上传普通文件，上传方式与图片完全相同。

ImageOptim

图片压缩工具

对于我们的博客来说，图片越大，加载速度越慢。

不信你用手机打开你的博客试试~

所以有必要对我们上传到博客网站中的图片：指的是你的头像，首页背景图片，文章背景图片等。对于博客文章中插入的图片，其实也可以压缩了再上传。

暂时这几个，此文保持更新！

Surge - 配置文件指引

Thu, 06 May 2021 00:00:00 +0000

Surge 核心的功能由配置文件（Profile）所控制，当遇到一些特殊需求时，需要通过手动编辑配置文件方可实现，本文总结了 Surge 配置文件系统的一些梳理。

配置文件的内容

配置文件的格式部分沿用了 INI 文件的格式，以 [Section] 进行分段，用于划分不同的段落，对设置内容进行区隔。

每个段落的配置行分别有其特定的语法，如 [General]、[Replica]、[MITM] 段是简单的 key = value 的形式

[General]
key = value

在这几个段里，配置行的先后顺序并无影响。但是在如 [Rule] 等段中，配置行的上下顺序非常重要。

配置文件的分类

配置文件分为三类：

普通配置：即手动创建或默认使用的一般配置文件（详见 GitHub 仓库）。
托管配置：通常由企业管理员或服务商提供。托管配置由于可以被远程更新，所以不可以在本地进行修改。如需要进行修改应先创建副本变为普通配置。
企业配置：仅限企业版本，不可修改和查看，也不可建立副本。
配置段分离

为了满足各种使用场景的复杂性，Surge Mac 4.1.0 Beta / Surge iOS Beta 1903 开始支持将配置的一个段分离至另一个文件中。

如：

[Proxy]
#!include Proxy.dconf

其中所引用的另一个文件，必须包含对应段的 [] 声明。因此，该文件既可以是一个只包含部分段的文件（一个或多个），也可以是一个完整的配置。

Proxy.dconf

[Proxy]
ProxyA = http, 1.2.3.4, 80

使用该功能，你可以：

引用托管配置的 [Proxy]、[Proxy Group]、[Rule] 段，自行编写其他段。这样既可以享受托管配置的代理相关的内容更新，也不影响通过 UI 调整其他的功能。
在多个配置间共享某几个段的内容。比如同时在 iOS 和 macOS 上使用 Surge 时，[Proxy]、[Proxy Group]、[Rule] 等段的内容往往是一样的，但是 [General] 的内容却可能大不相同。可建立 iOS.conf 和 macOS.conf 两个配置，将重复的部分放置于另一个文件中。

[Proxy]
#!include Proxy.dconf

[Proxy Group]
#!include Policy.dconf

[Rule]
#!include Rule.dconf

这样，当调整 iOS 上 [General] 段相关内容时，并不会影响 macOS 端，也避免了维护两套代理配置的麻烦。同时完全不妨碍使用 UI 进行配置。

一些补充说明：

在通过 UI 修改配置后，会按照 include 的声明将配置写入对应的分离配置段文件。如果该文件包含其他未用到的段落，写入时只会修改涉及的段落。
如果引用的是一个托管配置，则和该段相关的配置不可被编辑，但是不影响其他段的调整。
为了配合该功能的使用，Surge Mac 新版中将对所有已安装的托管配置定期检查更新，旧版本中仅对当前使用中的配置检查更新。
文件名的后缀并没有要求，如果是一个完整配置可继续使用 conf 后缀，如果并非一个完整配置建议使用其他后缀，以避免被显示在配置列表中。

模块

配置段分离功能用于将单个配置文件拆分为多个文件，而模块则是对配置文件的补丁，每个模块文件用于对配置文件的各个部分进行微调，以实现某个特定的任务。

模块可以：

灵活的开启与关闭。
在同一个文件内对多个段进行调整。
可通过 URL 进行安装并保持更新。

但是

模块不可以调整 [Proxy]、[Proxy Group]、[Rule] 段内容。
模块不可以调整 MITM 的 CA 证书。
模块的设置覆盖于主配置之上，因此不可以通过 UI 进行调整。

模块基本概念

模块相当于给当前配置进行 Patch，其优先级高于配置本身的设置。有三种模块：

内置模块：Surge 会预置一些模块，随着 Surge 自身更新。
本地模块：放置在配置文件目录的 .sgmodule 文件
安装的模块：从某个 URL 安装的模块
- 点击「模块卡片」下方的「模块」按钮，点击「安装新模块…」按钮，粘贴以你需要的模块「sgmodule 文件的 GitHub raw 链接」，确认安装后确保刚刚安装的模块左侧有对勾代表模块已经启用，点击右上角「完成」确认即可。

你可以同时开启多个模块，模块的开启状态保存于当前设备，不会进行同步。切换配置也不影响模块的开启状态。

模块编写

模块的内容和标准配置基本一致，目前支持调整以下段：

General，Replica有三种写法
- key = value：直接覆盖原始值
- key = %APPEND% value：在原始值的末尾进行追加（仅适用于适用逗号分隔的字段）
- key = %INSERT% value：在原始值的开始进行插入（仅适用于适用逗号分隔的字段）
MITM仅支持操作 hostname 字段，同样支持上述三种写法。
Script，URL Rewrite，Header Rewrite，Host新加入的定义将会追加在原始内容的顶部。
Rule
- 新配置的规则将被插入在最顶部
- 规则只可以使用 DIRECT、REJECT、REJECT-TINYGIF 三个策略

同时，模块支持配置 name，desc 和 system 描述，请参照最后的样例。(system 描述的可取值为 ios 和 mac，用于限制模块的使用范围)

模块样例

#!name=MitM All Hostnames
#!desc=Perform MitM on all hostnames with port 443, except those to Apple and other common sites which can't be inspected. You still need configure CA certificate and enable the main switch of MitM.

[MITM]
hostname = -*.apple.com, -*.icloud.com, -*.mzstatic.com, -*.crashlytics.com, -*.facebook.com, -*.instagram.com, *

#!name=Game Console SNAT
#!desc=Let Surge handle SNAT conversation properly for PlayStation, Xbox, and Nintendo Switch. Only useful if Surge Mac acts the router for these devices.
#!system=mac

[General]
always-real-ip = %APPEND% *.srv.nintendo.net, *.stun.playstation.net, xbox.*.microsoft.com, *.xboxlive.com

Surge - 规则：逻辑规则

Thu, 06 May 2021 00:00:00 +0000

AND

与规则 - 当所有子规则都满足时，则执行该规则：

AND,((#Rule1), (#Rule2), (#Rule3)...),Proxy

示例

AND,((PROCESS-NAME,Google Chrome),(PROTOCOL,UDP)),REJECT

拦截 Chrome 发出的 UDP 数据包。

OR

或规则 - 当任意子规则满足时，则执行该规则：

OR,((#Rule1), (#Rule2), (#Rule3)...),Proxy

示例

OR,((RULE-SET,SYSTEM), (RULE-SET,LAN), (GEOIP,CN)),DIRECT

Surge 系统内置规则可以用 OR 规则写到一条内，表示系统内置规则 SYSTEM、本地局域网、GeoIP 中国走直连。

NOT

非规则 - 当任意子规则满足时，则执行该规则：

NOT,((#Rule1)),Proxy

示例

AND,((NOT,((SRC-IP,192.168.1.110))),(DOMAIN, example.com)),DIRECT

这条规则稍微有点复杂，它将 AND 和 NOT 相结合，它表示网关模式下除了设备 192.168.1.110 以外的其他设备在请求域名 example.com 时做直连处理。