配置字段参考#
本参考按配置块列出用户可写字段。它不是推荐配置模板,而是“查字段含义和影响”的手册。字段是否最终生效还会受平台、协议类型和组合限制影响;如果某个字段在当前协议/平台不支持,Link1 会在配置编译阶段报错。
顶层字段#
| 字段 | 含义 | 实际影响 |
|---|
port | HTTP 显式代理端口 | 只接受 HTTP proxy 请求;客户端需显式配置 HTTP 代理。 |
socks-port | SOCKS5 显式代理端口 | 只接受 SOCKS5 请求;域名是否交给 Link1 取决于客户端。 |
redir-port | Linux REDIRECT 透明代理端口 | 需要 iptables/nftables 转发 TCP 流量。 |
tproxy-port | Linux TPROXY 透明代理端口 | 需要 Linux policy routing;适合 TCP/UDP 透明代理。 |
mixed-port | HTTP/SOCKS5 混合代理端口 | 新手最推荐入口,一个端口同时服务 HTTP proxy 和 SOCKS5。 |
allow-lan | 允许局域网访问 | 为 false 时更安全;为 true 时其他设备可连接 Link1 监听端口。 |
bind-address | 监听绑定地址 | 127.0.0.1 仅本机;*/0.0.0.0 对所有网卡开放。 |
authentication | 入站用户名密码 | HTTP/SOCKS 客户端需认证,格式通常为 user:pass。 |
skip-auth-prefixes | 跳过认证的源 IP 前缀 | 对可信本机/内网免认证。 |
lan-allowed-ips | 允许访问的 LAN 源 IP | 缩小 LAN 暴露面。 |
lan-disallowed-ips | 拒绝访问的 LAN 源 IP | 排除不可信设备。 |
mode | 运行路由模式 | 常用 rule;影响默认路由行为。 |
unified-delay | 统一延迟口径 | 影响健康检查/延迟展示的统计方式。 |
log-level | 日志级别 | 影响输出详细程度;排障可临时提高。 |
ipv6 | 全局 IPv6 开关 | 会影响出站和 DNS IPv6 可用性。 |
find-process-mode | 进程查找模式 | 影响 PROCESS/UID 规则能否拿到进程元数据。 |
ruleset-membership-cache-size | 规则集成员缓存大小 | 提高 RULE-SET 匹配性能,过大增加内存。 |
interface-name | 全局出站网卡 | 作为支持协议的默认网卡绑定。 |
routing-mark | 全局 Linux routing mark | 作为支持协议的默认 mark。 |
inbound-tfo | 入站 TCP Fast Open | 支持平台上减少入站 TCP 握手开销。 |
inbound-mptcp | 入站 MPTCP | 支持平台上启用 Multipath TCP。 |
ss-config | Shadowsocks 模板导入兼容字段 | 模板导入未实现,配置会被拒绝。 |
vmess-config | VMess 模板导入兼容字段 | 模板导入未实现,配置会被拒绝。 |
geo-auto-update | 自动更新 Geo 数据 | 开启后按间隔更新 GeoIP/GeoSite/ASN 资源。 |
geo-update-interval | Geo 更新间隔 | 单位小时;影响自动更新频率。 |
geodata-mode | GeoData 模式 | 启用 GeoIP/GeoSite 数据模式。 |
geodata-loader | GeoData 加载器 | 支持 memconservative/memc。 |
geosite-matcher | GeoSite 匹配器 | 支持 mph、hybrid、succinct,默认 mph。 |
geox-url | Geo 资源 URL | 指定 geoip/mmdb/asn/geosite 下载地址。 |
global-client-fingerprint | 全局 TLS 指纹 | 作为支持协议的默认 ClientHello 指纹。 |
global-ua | 全局 User-Agent | 用于 provider 拉取等 HTTP 客户端默认 UA。 |
etag-support | HTTP provider ETag 支持 | 减少重复下载;配合 Last-Modified/缓存。 |
disable-keep-alive | 禁用 HTTP keep-alive | 影响 provider/HTTP 客户端连接复用。 |
keep-alive-idle | TCP keepalive idle | 影响空闲多久开始 keepalive。 |
keep-alive-interval | TCP keepalive interval | 影响 keepalive 探测间隔。 |
profile | 状态持久化配置 | 控制选择和 Fake-IP 是否持久化。 |
tls | 全局 TLS 服务配置 | listener 等服务端 TLS 材料。 |
experimental | 实验开关 | 影响 QUIC/GSO/ECN/IP4P 等高级行为。 |
ntp | NTP 配置 | 用于时间同步相关能力。 |
iptables | iptables 辅助配置 | 路由器/透明代理场景使用。 |
tuic-server | TUIC server 兼容字段 | 不支持,配置会被拒绝。 |
clash-for-android | Android 兼容配置 | 移动端/兼容展示字段。 |
tunnels | 隧道兼容字段 | 不支持,配置会被拒绝。 |
listeners | 协议服务端监听器 | 声明 VLESS/Hysteria2 等入站服务。 |
tun | TUN 入站配置 | 虚拟网卡接管系统流量。 |
app-proxy | 应用透明代理 | 桌面端按应用/进程透明接管入口。 |
sniffer | 嗅探配置 | 从 HTTP/TLS/QUIC 流量中恢复域名。 |
rules | 路由规则 | 按顺序决定连接出口。 |
sub-rules | 子规则 | 复用或分段执行规则流程。 |
rule-sets | 内联/已解析规则集 | 供 RULE-SET/TUN route set 等引用。 |
rule-providers | 规则提供器 | 从 HTTP/File/Inline 加载规则集。 |
proxy-providers | 代理提供器 | 从订阅、文件、内联或 WARP 生成节点。 |
hosts-providers | hosts 提供器 | 从外部加载 hosts。 |
proxies | 静态出站节点 | 手工写节点。 |
proxy-groups | 策略组 | 组合节点并选择出口。 |
hosts | 静态 hosts | 域名到 IP 的固定映射。 |
dns | DNS 配置 | 解析、Fake-IP、DNS 分流。 |
http-engine | HTTP Engine | MITM、改写、Mock、Capture。 |
device-discovery | 设备发现 | 把源 IP 补充为局域网设备信息。 |
geox-url 字段#
| 字段 | 含义 | 实际影响 |
|---|
geoip | GeoIP dat URL | 影响 GEOIP 规则数据来源。 |
mmdb | MMDB URL | 影响 GeoIP/mmdb 数据来源。 |
asn | ASN mmdb URL | 影响 IP-ASN/SRC-IP-ASN。 |
geosite | GeoSite dat URL | 影响 GEOSITE 规则。 |
profile 字段#
| 字段 | 含义 | 实际影响 |
|---|
store-selected | 持久化策略组选择 | 重启后恢复 select 组选择。 |
store-fake-ip | 持久化 Fake-IP 映射 | 重启后尽量保持域名-IP 映射。 |
tls 字段#
| 字段 | 含义 | 实际影响 |
|---|
certificate | 服务端证书 | listener 或其他服务端 TLS 使用。 |
private-key | 服务端私钥 | 必须与证书匹配。 |
client-auth-type | 客户端证书认证类型 | mTLS 场景使用。 |
client-auth-cert | 客户端 CA/证书 | mTLS 校验。 |
ech-key | ECH key | ECH 服务端能力。 |
custom-certifactes | 自定义信任证书 | 字段名沿用兼容拼写。 |
experimental 字段#
| 字段 | 含义 | 实际影响 |
|---|
dialer-ip4p-convert | 启用 IP4P 转换 | 实验性拨号行为。 |
ntp 字段#
| 字段 | 含义 | 实际影响 |
|---|
enable | 启用 NTP | 时间同步相关。 |
server | NTP 服务器 | 目标服务器。 |
port | NTP 端口 | 默认 NTP 常用 123。 |
interval | 同步间隔 | 影响同步频率。 |
dialer-proxy | NTP 使用的出口 | 通过指定代理访问 NTP。 |
write-to-system | 写入系统时间 | 需要权限,影响系统时钟。 |
iptables 字段#
| 字段 | 含义 | 实际影响 |
|---|
enable | 启用 iptables 辅助 | 透明代理辅助配置。 |
inbound-interface | 入站网卡 | 指定从哪个网卡接管。 |
bypass | 绕过地址 | 不进入透明代理。 |
dns-redirect | DNS 重定向 | 把 DNS 查询转给 Link1。 |
clash-for-android 字段#
| 字段 | 含义 | 实际影响 |
|---|
append-system-dns | 追加系统 DNS | Android 兼容行为。 |
ui-subtitle-pattern | UI 副标题模板 | 展示用途。 |
dns 字段#
| 字段 | 含义 | 实际影响 |
|---|
enable | 启用 DNS | 关闭时 DNS/Fake-IP 不生效。 |
prefer-h3 | DoH 优先 HTTP/3 | 影响 https:// DNS 上游。 |
listen | DNS 监听地址 | 供系统/路由器/TUN DNS hijack 查询。 |
ipv6 | DNS IPv6 | 返回 AAAA 记录;还受全局 IPv6 影响。 |
ipv6-timeout | IPv6 查询超时 | 双栈解析等待时间,毫秒。 |
enhanced-mode | 增强模式 | normal 或 fake-ip。 |
fake-ip-range | IPv4 Fake-IP 池 | 透明代理域名还原。 |
fake-ip-range6 | IPv6 Fake-IP 池 | IPv6 Fake-IP。 |
fake-ip-filter | Fake-IP 排除列表 | 命中域名返回真实 IP。 |
fake-ip-filter-mode | Fake-IP filter 模式 | 通常为 blacklist。 |
fake-ip-ttl | Fake-IP TTL | 影响客户端缓存。 |
fallback | 备用 DNS | 配合 fallback-filter。 |
fallback-filter | fallback 条件 | 判断何时采用 fallback。 |
cache-algorithm | 缓存算法 | 影响 DNS 缓存淘汰。 |
cache-max-size | 缓存大小 | 影响内存和命中率。 |
default-nameserver | bootstrap DNS | 解析 DoH/DoT 上游自身域名。 |
nameserver | 默认 DNS | 普通解析上游。 |
proxy-server-nameserver | 代理服务器 DNS | 解析 proxies[].server。 |
proxy-server-nameserver-policy | 代理服务器 DNS 策略 | 按域名指定代理服务器 DNS。 |
direct-nameserver | 直连 DNS | direct 路径解析。 |
direct-nameserver-follow-policy | direct DNS 跟随 policy | 影响直连域名 DNS 分流。 |
respect-rules | DNS 尊重规则 | 让 DNS 查询出口更贴近最终路由。 |
use-hosts | 使用配置 hosts | 启用顶层 hosts。 |
use-system-hosts | 使用系统 hosts | 启用系统 hosts 文件。 |
nameserver-policy | DNS 分流策略 | 按域名/geosite/rule-set 指定 DNS。 |
dns.fallback-filter 字段#
| 字段 | 含义 | 实际影响 |
|---|
geoip | 按 GeoIP 判断 | 返回 IP 不符合 geoip-code 时用 fallback。 |
geoip-code | GeoIP 代码 | 默认常见为 CN。 |
geosite | GeoSite 条件 | 域名属于分类时触发。 |
domain | 域名条件 | 命中域名模式时触发。 |
ipcidr | IP CIDR 条件 | 返回 IP 落入网段时触发。 |
tun 字段#
| 字段 | 含义 | 实际影响 |
|---|
enable | 启用 TUN | 创建/使用虚拟网卡。 |
backend | TUN 后端 | auto/native/packet-tunnel。 |
stack | 兼容字段 | 保留解析字段,实际后端由 backend 控制。 |
auto-route | 自动路由 | 把系统流量导入 TUN。 |
auto-redirect | 自动 redirect | Linux/Android 透明接管辅助。 |
auto-redirect-input-mark | 入站 mark | auto-redirect 使用。 |
auto-redirect-output-mark | 出站 mark | auto-redirect 使用。 |
auto-redirect-iproute2-fallback-rule-index | fallback rule index | 必须小于 iproute2-rule-index。 |
auto-detect-interface | 自动检测网卡 | 减少手写出口网卡。 |
dns-hijack | DNS 劫持规则 | 把 DNS 查询导入 Link1。 |
device | TUN 设备名 | native 后端常用。 |
mtu | MTU | 默认 1500,影响分片和吞吐。 |
strict-route | 严格路由 | 降低泄漏风险,可能影响内网访问。 |
loopback-address | 回环地址列表 | 仅 loopback IP。 |
gso | 启用 GSO | Linux 数据面性能优化。 |
gso-max-size | GSO 最大尺寸 | 需 gso=true。 |
udp-timeout | UDP 超时 | 默认 300 秒。 |
disable-icmp-forwarding | 禁用 ICMP 转发 | 影响 ping/ICMP 行为。 |
file-descriptor | 外部传入 fd | 平台集成场景。 |
recvmsgx | Darwin recvmsgx | Darwin 栈优化。 |
sendmsgx | Darwin sendmsgx | Darwin 栈优化。 |
iproute2-table-index | 路由表编号 | Linux policy routing。 |
iproute2-rule-index | rule 优先级 | Linux policy routing。 |
endpoint-independent-nat | 端点独立 NAT | 改变 UDP NAT 复用。 |
route-address-set | 接管规则集 | 引用 ipcidr rule-set。 |
route-exclude-address-set | 排除规则集 | 引用 ipcidr rule-set。 |
route-address | 接管 CIDR | 只接管这些网段。 |
route-exclude-address | 排除 CIDR | 保护内网/保留地址。 |
include-interface | 包含网卡 | 选择哪些网卡流量进 TUN。 |
exclude-interface | 排除网卡 | 选择哪些网卡流量不进 TUN。 |
include-uid | 包含 UID | Linux/Android。 |
include-uid-range | 包含 UID 范围 | 格式 start:end。 |
exclude-uid | 排除 UID | Linux/Android。 |
exclude-uid-range | 排除 UID 范围 | 格式 start:end。 |
exclude-src-port | 排除源端口 | 端口列表。 |
exclude-src-port-range | 排除源端口范围 | 格式 start:end。 |
exclude-dst-port | 排除目标端口 | 端口列表。 |
exclude-dst-port-range | 排除目标端口范围 | 格式 start:end。 |
include-android-user | 包含 Android user | Android only。 |
include-package | 包含包名 | Android only。 |
exclude-package | 排除包名 | Android only。 |
inet4-address | TUN IPv4 地址 | 为空时可从 Fake-IP 推导。 |
inet6-address | TUN IPv6 地址 | IPv6 TUN 地址。 |
inet4-route-address | IPv4 接管路由 | IPv4 专用。 |
inet6-route-address | IPv6 接管路由 | IPv6 专用。 |
inet4-route-exclude-address | IPv4 排除路由 | IPv4 专用。 |
inet6-route-exclude-address | IPv6 排除路由 | IPv6 专用。 |
sniffer 字段#
| 字段 | 含义 | 实际影响 |
|---|
enable | 启用嗅探 | HTTP/TLS/QUIC 域名识别。 |
override-destination | 覆盖目标 | 嗅探到域名后是否改写实际出站目标;关闭时仍可记录嗅探域名供规则匹配/观测。 |
force-dns-mapping | 强制 DNS 映射 | 结合 Fake-IP/DNS 恢复域名。 |
parse-pure-ip | 解析纯 IP | 对 IP 目标尝试处理。 |
sniffing | 兼容启用列表 | 声明 HTTP/TLS/QUIC。 |
port-whitelist | 端口白名单 | 只嗅探指定端口。 |
sniff | 分协议配置 | HTTP/TLS/QUIC 子配置。 |
force-domain | 强制域名 | 命中已有目标域名时仍强制嗅探;不绕过 override-destination。 |
skip-domain | 跳过域名 | 不嗅探/覆盖的域名。 |
skip-src-address | 跳过源地址 | 按源 IP 前缀跳过。 |
skip-dst-address | 跳过目标地址 | 按目标 IP 前缀跳过。 |
sniffer.sniff.* 字段#
| 字段 | 含义 | 实际影响 |
|---|
ports | 端口列表 | 指定该协议嗅探端口。 |
override-destination | 协议级覆盖 | 覆盖全局 override-destination。 |
hosts-providers.* 字段#
| 字段 | 含义 | 实际影响 |
|---|
type | provider 类型 | http 或 file。 |
path | 本地路径 | file 读取或 http 缓存。 |
url | HTTP URL | http provider 下载地址。 |
interval | 刷新间隔 | 秒。 |
dialer-proxy | 下载出口 | 使用指定代理拉取。 |
proxy | 下载出口兼容字段 | 同类用途。 |
header | HTTP 请求头 | 认证/UA。 |
size-limit | 大小限制 | 限制响应体。 |
rule-providers.* 字段#
| 字段 | 含义 | 实际影响 |
|---|
type | provider 类型 | http/file/inline。 |
behavior | 规则行为 | domain/ipcidr/classical。 |
format | 格式 | yaml/text/mrs。 |
url | HTTP URL | http provider 下载。 |
path | 本地路径 | file 或缓存。 |
interval | 刷新间隔 | 秒。 |
proxy | 下载出口 | 指定 provider 拉取出口。 |
header | HTTP 请求头 | 认证/UA。 |
payload | 内联规则 | inline 使用。 |
size-limit | 大小限制 | 限制下载内容。 |
proxies[] 通用字段#
| 字段 | 含义 | 实际影响 |
|---|
name | 节点名 | 被规则、策略组、dialer-proxy、动态 DNS scheme 引用。 |
type | 节点类型 | 决定后续字段语义;常见值见出站协议章节。 |
server / port | 上游地址 | 远端代理、VPN、隧道 endpoint。 |
udp | UDP 能力开关 | 对支持 UDP 的协议启用/关闭 UDP 转发。 |
dialer-proxy | 前置拨号出口 | 当前节点连接自身上游时先通过另一个出站;若能力不成立会编译报错,不做静默忽略。 |
interface-name / routing-mark | 底层 socket 绑定 | 仅直拨上游时使用;部分协议设置 dialer-proxy 后会禁止这些字段。 |
ip-version | 解析/拨号 IP 族偏好 | 仅支持该 socket 选项的协议生效。 |
tfo / mptcp | TCP socket 能力 | 平台和协议均支持时才生效。 |
skip-cert-verify | 跳过证书校验 | TLS/QUIC 类协议使用;生产环境慎用。 |
sni / servername | TLS 名称 | 改变上游 TLS/QUIC 握手域名。 |
alpn | ALPN 列表 | 影响 HTTP/2、HTTP/3 或协议协商。 |
client-fingerprint / fingerprint | TLS 指纹 | 影响 ClientHello 或证书指纹校验,需协议支持。 |
proxies[] L3/VPN 字段#
| 字段 | 适用类型 | 实际影响 |
|---|
remote-dns-resolve | wireguard、masque、tailscale、openvpn、atrust、feilian、easyconnect | 默认 true。目标仍是域名时优先用该 VPN/隧道 runtime 的 DNS 解析;没有 pushed/configured DNS 时报错,不静默回退本地 DNS。 |
dns | wireguard、masque、openvpn 等 | 手动指定隧道内 DNS;OpenVPN 服务端 push DNS 时会覆盖手动值。 |
route-rule-set | tailscale、openvpn、企业 VPN | 暴露动态路由规则集;未显式配置时默认 $<proxy-name>。 |
auto-route | tailscale、openvpn、企业 VPN | 默认 true;自动把动态 RULE-SET 插入到 MATCH 前。 |
accept-routes | tailscale | 是否接受 tailnet 控制面下发的路由,默认 true。 |
exit-node | tailscale | 使用指定 Tailscale exit node。 |
exit-node-allow-lan-access | tailscale | 使用 exit node 时保留本地 LAN 访问。 |
state-dir | tailscale | 使用文件状态目录;不写时使用 Link1 状态库。 |
control-url | tailscale | Tailscale/Headscale 控制面 URL。 |
ip / ipv6 | wireguard、masque、openvpn | 本端隧道地址。 |
allowed-ips / peers | wireguard | WireGuard peer 路由与 peer 列表。 |
reserved.bytes | WARP WireGuard | WARP reserved bytes。 |
remotes[] | openvpn | 多 OpenVPN remote 候选。 |
tls-auth / tls-crypt / tls-crypt-v2 | openvpn | OpenVPN 控制通道保护,三者互斥。 |
proxies[] 传输与 QUIC 字段#
| 字段 | 适用类型 | 实际影响 |
|---|
network | VMess/VLESS/Trojan/MASQUE 等 | 选择底层传输;MASQUE 支持 h3/http3/quic 与 h2/http2。 |
http-opts / ws-opts / h2-opts / grpc-opts / xhttp-opts | VMess/VLESS/Trojan 等 | 配套 HTTP/WebSocket/HTTP2/gRPC/xHTTP 传输参数。 |
reality-opts / ech-opts | TLS 类协议 | REALITY / ECH 配置。 |
congestion-controller | QUIC/MASQUE/TrustTunnel/TUIC 等 | QUIC 拥塞控制;常见值 cubic、new_reno、bbr、brutal。 |
bbr-profile | 支持 BBR 的 QUIC 协议 | BBR 参数档:standard、conservative、aggressive;要求或自动选择 congestion-controller=bbr,协议限制不满足时报错。 |
cwnd | QUIC/MASQUE/TrustTunnel/TUIC 等 | 初始拥塞窗口。 |
up / down | Hysteria/TUIC/MASQUE brutal 等 | 带宽提示或 brutal 拥塞控制输入。 |
handshake-mode | MASQUE/WARP MASQUE | MASQUE 握手兼容模式;普通 MASQUE 支持 strict/compat,WARP manual 顶层不支持。 |
mtu | L3/QUIC 隧道 | 隧道 MTU。 |
realm-opts | hysteria2 出站与 Hysteria2 listener | Realm 转发配置;要求 server-url、token、realm-id、stun-servers,不能与 ports 同用。 |
proxies[].realm-opts 字段#
| 字段 | 含义 | 实际影响 |
|---|
enable | 启用 Realm | 为 true 或任一子字段非空时按 Realm 配置校验。 |
server-url | Realm 服务地址 | 控制面地址,必填。 |
token | Realm token | 认证 token,必填。 |
realm-id | Realm ID | 选择具体 realm,必填。 |
stun-servers | STUN 服务器 | 至少一个,用于 NAT 探测/协商。 |
sni | Realm TLS SNI | Realm 控制面 TLS 名称。 |
skip-cert-verify | 跳过 Realm 证书校验 | 仅调试或受控环境使用。 |
fingerprint | Realm 证书指纹 | 证书 pinning。 |
certificate / private-key | Realm 客户端证书 | 成对配置。 |
alpn | Realm ALPN | Realm TLS 协商。 |
proxy | Realm 控制面出口 | 访问 Realm 控制面使用的出口,不等同于节点自己的 dialer-proxy。 |
proxy-groups[] 字段#
| 字段 | 含义 | 实际影响 |
|---|
name | 组名 | 被规则引用。 |
type | 组类型 | select/url-test/smart/fallback/load-balance/relay。 |
proxies | 成员节点 | 静态引用。 |
use | 引用 provider | 引入 provider 节点。 |
url | 探测 URL | 健康检查。 |
interval | 探测间隔 | 秒。 |
timeout | 探测超时 | 毫秒。 |
lazy | 懒探测 | 需要时再探测。 |
max-failed-times | 失败阈值 | 影响可用性。 |
disable-udp | 禁用 UDP | 组层面关闭 UDP。 |
interface-name | 绑定网卡 | 组成员默认 socket 选项。 |
routing-mark | routing mark | Linux 策略路由。 |
include-all | 包含全部节点 | 静态+provider。 |
include-all-proxies | 包含全部静态节点 | 不含 provider。 |
include-all-providers | 包含全部 provider 节点 | 不含静态。 |
filter | 成员过滤 | 按名称正则保留。 |
exclude-filter | 成员排除 | 按名称正则排除。 |
exclude-type | 类型排除 | 按协议类型排除。 |
expected-status | 期望状态码 | 健康检查成功条件。 |
health-check | 嵌套健康检查 | 覆盖 url/interval/timeout/lazy/expected-status。 |
hidden | UI 隐藏 | 展示用途。 |
icon | UI 图标 | 展示用途。 |
tolerance | 延迟容忍 | url-test 防抖。 |
strategy | 负载策略 | load-balance 使用。 |
proxy-groups[].health-check 字段#
| 字段 | 含义 | 实际影响 |
|---|
url | 探测 URL | 默认 http://www.gstatic.com/generate_204。 |
interval | 探测间隔 | 默认 300 秒。 |
timeout | 探测超时 | 默认 5000 毫秒。 |
lazy | 懒探测 | 需要时再探测。 |
expected-status | 期望状态码 | 可写 204 或范围语义。 |
http-engine 字段#
| 字段 | 含义 | 实际影响 |
|---|
enabled | 启用 HTTP Engine | 关闭时规则不运行。 |
defaults | 默认限制 | body/JQ/script 默认值。 |
mitm | MITM 配置 | HTTPS 解密。 |
force-http-engine | 强制处理列表 | 特定 host/pattern 进入 HTTP Engine。 |
downstream-h3-proxy | 下游 H3 proxy | 影响客户端到 Link1 的 HTTP/3。 |
upstream-h3 | 上游 H3 策略 | off/hinted/aggressive。 |
capture | 捕获配置 | 记录 flow/body。 |
scripts | 脚本源 | QuickJS 规则引用。 |
rules | 规则集合 | URL/Header/Body/JSON/JQ/Script/Mock/Route。 |
http-engine 嵌套字段#
| 字段 | 含义 | 实际影响 |
|---|
defaults.body-max-size | 默认 body 上限 | 超过不读取/处理。 |
defaults.jq-timeout | JQ 默认超时 | 限制 JQ 执行。 |
defaults.script-timeout | 脚本默认超时 | 限制 QuickJS 执行。 |
defaults.script-memory-limit | 脚本默认内存 | 限制 QuickJS 内存。 |
defaults.on-error | 默认错误策略 | fail-open 或 fail-closed。 |
mitm.enabled | 启用 MITM | 解密匹配 HTTPS。 |
mitm.ca-cert | CA 证书来源 | file/inline/managed。 |
mitm.ca-key | CA 私钥来源 | file/inline/managed。 |
mitm.hosts | MITM host 列表 | 只解密命中的主机。 |
mitm.h2 | 启用 H2 | 叶子证书/下游 HTTP/2。 |
mitm.leaf-cache-max-entries | leaf 缓存数量 | 减少证书生成开销。 |
capture.enabled | 启用 capture | 记录 HTTP flow。 |
capture.max-flows | 最大 flow 数 | 控制内存。 |
capture.body-preview-bytes | body 预览大小 | 列表展示。 |
capture.store-full-body | 保存完整 body | 会占磁盘。 |
capture.full-body-max-bytes | 完整 body 上限 | 限制落盘大小。 |
capture.spool-dir | spool 目录 | body 落盘位置。 |
scripts.name | 脚本名 | 供规则引用。 |
scripts.source | 脚本来源 | file/inline/inline-base64。 |
source.file | 文件来源 | 从文件读取文本/脚本。 |
source.inline | 内联文本 | 直接写内容。 |
source.inline-base64 | base64 文本 | 适合二进制/特殊字符。 |
pem.file | PEM 文件 | 证书/私钥文件。 |
pem.inline-pem | 内联 PEM | 直接写 PEM。 |
pem.inline-base64 | base64 PEM | base64 编码 PEM。 |
pem.managed | App 自动管理的 CA ID | 例如 ca-managed;由 Link1 App 创建、保存和引用。 |
http-engine.rules.*.match 字段#
| 字段 | 含义 | 实际影响 |
|---|
view | 视图/阶段 | 按 HTTP Engine 视图匹配。 |
url | URL 精确匹配 | 匹配完整 URL。 |
url-regex | URL 正则 | 正则匹配完整 URL。 |
scheme | scheme 列表 | http/https。 |
host | Host 匹配 | 目标主机。 |
path | 路径匹配 | 请求路径。 |
path-regex | 路径正则 | 正则路径。 |
query | query 匹配 | URL query。 |
query-regex | query 正则 | 正则 query。 |
method | 方法列表 | GET/POST 等。 |
content-type | Content-Type | 按内容类型。 |
user-agent | User-Agent | 精确/列表。 |
user-agent-regex | User-Agent 正则 | 正则 UA。 |
header | header 匹配 | 按头值。 |
header-regex | header 正则 | 按头正则。 |
cookie | cookie 匹配 | 按 cookie。 |
cookie-regex | cookie 正则 | 按 cookie 正则。 |
protocol | 协议 | HTTP 协议/版本。 |
entry-point | 入口 | 按入站入口。 |
http-engine.rules 字段#
| 字段 | 含义 | 实际影响 |
|---|
url-rewrite | URL 改写规则 | rewrite/redirect/reject。 |
header-rewrite | Header 改写 | 请求/响应头操作。 |
body-rewrite | Body 文本改写 | 字符串或正则替换。 |
json-transform | JSON 变换 | 结构化 JSON 修改。 |
jq | JQ 规则 | 用 JQ 表达式处理 JSON。 |
script | QuickJS 规则 | 运行脚本处理请求/响应。 |
mock | Mock 响应 | 直接返回伪造响应。 |
route | HTTP route 标记 | 给进入 HTTP Engine 的 HTTP flow 标记出站。 |
http-engine 规则动作字段#
| 字段 | 含义 | 实际影响 |
|---|
name | 规则名 | 用于识别和日志。 |
direction | 方向 | request 或 response。 |
action | 动作 | URL rewrite 使用。 |
operations | 操作列表 | header/body 使用。 |
op | 操作类型 | set/del/replace 等。 |
key | header key | Header 操作。 |
value | 值 | 设置/JSON 值。 |
pattern | 正则 | replace-regex。 |
replacement | 替换值 | replace-regex/rewrite。 |
from | 原文本 | body replace。 |
to | 新文本 | body replace。 |
require-body | 要求 body | 无 body 时如何处理。 |
max-size | 最大 body | 超过不处理。 |
on-error | 错误策略 | fail-open/fail-closed。 |
when | JSON 谓词 | 满足才执行。 |
ops | JSON 子操作 | JSON transform。 |
path | JSON 路径或 URL path | 按上下文。 |
eq | 等于 | JSON 谓词。 |
neq | 不等于 | JSON 谓词。 |
in | 在列表中 | JSON 谓词。 |
not-in | 不在列表中 | JSON 谓词。 |
exists | 是否存在 | JSON 谓词。 |
field | 数组元素字段 | filter-array where。 |
all | 全部条件 | where 嵌套。 |
equals | 当前值比较 | replace-if-eq。 |
expression | JQ 表达式 | JQ 规则。 |
variables | JQ 变量 | 传入表达式。 |
engine | 脚本引擎 | quickjs。 |
script | 脚本名 | 引用 scripts。 |
binary-body-mode | 二进制 body | 脚本规则。 |
timeout | 超时 | JQ/script。 |
memory-limit | 内存限制 | script。 |
arguments | 脚本参数 | map 字符串。 |
response | Mock 响应 | status/headers/body。 |
status | HTTP 状态码 | URL redirect/mock。 |
headers | HTTP 头 | Mock 响应。 |
body | 内联 body | Mock。 |
body-file | body 文件 | Mock。 |
body-base64 | base64 body | Mock。 |
tiny-gif | tiny gif | Mock 图片占位。 |
outbound | 出口名 | route 规则。 |
type | 动作类型 | URL rewrite action。 |
location | 重定向地址 | redirect。 |
device-discovery 字段#
| 字段 | 含义 | 实际影响 |
|---|
enable | 启用设备发现 | 为连接源 IP 补充设备信息。 |
passive-listen | 被动监听 | 通过 ARP/mDNS/SSDP/NetBIOS 等弱信号发现。 |
active-probe | 主动探测 | 主动探测局域网设备。 |
weak-hints | 弱提示 | 允许不强确定的设备提示。 |
cache | 缓存配置 | 控制设备/地址 TTL 与数量。 |
probe | 探测配置 | 控制并发、超时、最小间隔。 |
interfaces | 接口过滤 | 指定包含/排除网卡。 |
device-discovery.cache 字段#
| 字段 | 含义 | 实际影响 |
|---|
max-devices | 最大设备数 | 限制内存。 |
max-addresses | 最大地址数 | 限制每设备地址。 |
device-ttl | 设备 TTL | 设备信息过期时间。 |
address-ttl | 地址 TTL | 地址绑定过期时间。 |
device-discovery.probe 字段#
| 字段 | 含义 | 实际影响 |
|---|
min-gap | 最小探测间隔 | 避免频繁探测。 |
timeout | 探测超时 | 单次探测等待。 |
concurrency | 并发数 | 控制探测压力。 |
device-discovery.interfaces 字段#
| 字段 | 含义 | 实际影响 |
|---|
include | 包含接口 | 只在这些接口发现。 |
exclude | 排除接口 | 跳过这些接口。 |
