在日常办公中,经常面临“双重网络需求”:一方面需要AI工具提升工作效率(如查阅技术文档、使用 AI 生图,AI视频工具);另一方面,在处理抖音,淘宝等电商平台业务时,必须保证网络环境的绝对本土化与纯净度。
一旦电商平台流量滑入代理内核(utun 虚拟网卡),极易触发平台的安全风控机制(如登录异常、账号降权、下单拦截)。
本文将以淘系业务为示例,深度解析如何通过自定义 YAML 脚本,构建一套生产力与电商业务互不干扰的闭环方案。
一、 核心痛点:Fake-IP 模式下的“隐形风险”
在软路由某插件默认的 Fake-IP 模式下,App 发起请求时,内核会下发一个虚假 IP(198.18.x.x)。此时,手机App或者电脑浏览器拿到的不是真实的物理地址,所有数据包会强制通过虚拟接口。
本方案核心逻辑:从 DNS 到路由的“双重隔离”
要实现 100% 的物理直连,必须在两个层面同时发力:
DNS 阶段(拦截 Fake-IP):通过
fake-ip-filter强制淘系域名返回本地公网 IP,防止 App或者pc端浏览器拿虚假 IP 去撞虚拟网卡。路由阶段(内核强踢):即便域名层有漏网之鱼,只要目的地是阿里/华为的 BGP 网段,内核规则会强行将其踢回物理网卡(如 eth2)。
二、 自定义 YAML 核心配置补全
根据淘系示例需求,以下是yaml的部分配置模块。请确保在编辑器中保持正确的 YAML 缩进(通常为 2 或 4 个空格)。
1. DNS 模块配置(fake-ip-filter )
dns:
enable: true
listen: 0.0.0.0:7874
ipv6: true
enhanced-mode: fake-ip
fake-ip-range: 198.20.0.1/16
nameserver:
- 223.5.5.5
fake-ip-filter-mode: blacklist
fake-ip-filter:
- +.lan
- +.local
- geosite:cn
# --- 阿里/淘系核心 ---
- +.1688.com
- +.alibaba.com
- +.alibabacloud.com
- +.alibabacloud.net
- +.alibabacloud-common.com
- +.alibaba-inc.com
- +.alibaba-inc.cn
- +.alibaba-mcl.com
- +.alicdn.com
- +.alicdn.cn
- +.alicdn.net
- +.alipay.com
- +.alipay.cn
- +.alipay.org
- +.alipayobjects.com
- +.aliapp.org
- +.aliapp.com
- +.alirender.com
- +.alizone.com.hk
- +.aliyun.com
- +.aliyuncs.com
- +.alidns.com
- +.amap.com
- +.amap.cn
- +.autonavi.com
- +.antgroup.com
- +.antfin.com
- +.apollosapi.com
- +.cainiao.com
- +.goofish.com
- +.idlefish.com
- +.2pht.com
- +.mmstat.com
- +.tbcache.com
- +.tbcdn.cn
- +.taobao.com
- +.taobao.cn
- +.tmall.com
- +.tmall.cn
- +.tb.cn
- +.etao.com
- +.95516.com
- +.agoo.me
- +.msg.taobao.com
- +.acs.m.taobao.com
# --- 关联应用或加速服务---
# 阿里某些业务会租用华为云的服务器
- +.umeng.com
- +.umengcloud.com
- +.uc.cn
- +.damai.cn
- +.ele.me
- +.youku.com
- +.alimama.com
- +.tanx.com
- +.hwclouds-dns.com
- +.huaweicloud.com
- +.qcloud.com
- +.myqcloud.com
- +.petalmail.com
- +.dbankcloud.com
- +.dbankcloud.cn
- +.hicloud.com
- +.huawei.com
- +.vmall.com
# --- 公共 DNS ---
- 223.5.5.5
- 223.6.6.6
- 119.29.29.29
2. Rules 模块配置(路由强踢完整版)
rules:
# 必须置于顶部:优先保障电商主机的直连
- SRC-IP-CIDR,192.168.1.1/32,DIRECT #此ip要改为设备的静态IP,在路由器里面做静态绑定固定内网IP或者手动填写静态IP
- SRC-IP-CIDR,2400:3b2:1111:222::/60,DIRECT #此IP范围为运营商IP!请按照本地网络环境修改,不要照抄
# 物理放行补丁:强行将流量踢出虚拟网卡 (基于日志泄露记录)
- IP-CIDR,47.246.0.0/16,DIRECT # 阿里加速节点
- IP-CIDR,119.8.0.0/16,DIRECT # 华为云/阿里 BGP 常用段
- IP-CIDR,106.11.0.0/16,DIRECT # 阿里安全风控段
- IP-CIDR,140.205.0.0/16,DIRECT # 淘宝/支付宝核心接入段
# 本地链路绕过
- SRC-IP-CIDR,fe80::/10,DIRECT
- SRC-IP-CIDR,::1/128,DIRECT
- SRC-IP-CIDR,ff00::/8,DIRECT
# 淘系全系关键字与后缀绕过 (双重锁定)
- DOMAIN-KEYWORD,alibaba,DIRECT
- DOMAIN-KEYWORD,alicdn,DIRECT
- DOMAIN-KEYWORD,alipay,DIRECT
- DOMAIN-KEYWORD,taobao,DIRECT
- DOMAIN-KEYWORD,aliyun,DIRECT
- DOMAIN-SUFFIX,1688.com,DIRECT
- DOMAIN-SUFFIX,tmall.com,DIRECT
- DOMAIN-SUFFIX,idlefish.com,DIRECT
- DOMAIN-SUFFIX,goofish.com,DIRECT
- DOMAIN-SUFFIX,amap.com,DIRECT
- DOMAIN-SUFFIX,cainiao.com,DIRECT
- DOMAIN-SUFFIX,apollosapi.com,DIRECT
- DOMAIN-SUFFIX,uc.cn,DIRECT
- DOMAIN-SUFFIX,agoo.me,DIRECT
- DOMAIN-SUFFIX,tb.cn,DIRECT
# 关联应用放行 (饿了么、优酷等)
- DOMAIN-SUFFIX,ele.me,DIRECT
- DOMAIN-SUFFIX,youku.com,DIRECT
- DOMAIN-SUFFIX,myqcloud.com,DIRECT
- DOMAIN-SUFFIX,qcloud.com,DIRECT
# 最后的地理位置兜底
- GEOIP,CN,DIRECT
- MATCH,其他
三、 关键环节:如何彻底清空缓存?
修改 YAML 配置文件后,必须清理旧的 DNS 映射,否则设备软件(APP)会继续使用之前缓存的虚假 IP 连接 utun。
1. 电商 App 内部清理
淘宝/闲鱼:打开 App -> 我的 -> 设置 -> 通用 -> 清理缓存。
支付宝:我的 -> 设置 -> 通用 -> 存储空间管理 -> 清理。
2. 手机系统网络重置(强力操作)
开启 飞行模式,持续 15 秒以上。
在飞行模式下,彻底杀掉后台所有电商 App 进程。
关闭飞行模式,重新连接 Wi-Fi。
原理:此举会重置操作系统的 DNS 缓存池,迫使 App 重新触发 YAML 中的 Filter 规则。
3. 路由端收尾
进入软件控制面板的“连接”页面,点击右上角的“清理”图标,断开所有现有的活跃连接。
四、 技术验证
在终端执行:tcpdump -i any src 192.168.1.1 and port 443 -v # 192.168.1.1替换为设备设置的静态IP
完美状态:操作淘宝时,所有指向以上规则的流量应只在 eth2(物理接口)上跳动,utun 接口保持静默。
总结: 本方案通过在自定义 YAML 中构建“DNS 黑名单 + IP 段路由强踢”的闭环,确保了电商业务在复杂的代理环境下依然拥有纯粹的物理出口。