快连Kuailian固件如何配置分流规则？

功能定位：固件分流到底解决什么问题

在 Kuailian 生态里，固件分流（Firmware-level Split）把「分流决策」从客户端 App 前移到路由器固件，局域网所有设备无需单独装 App 即可按规则自动选路。核心收益有三：① 解决手机后台被杀导致的断流；② 让 Apple TV、Switch 等无法装代理客户端的设备也能走海外线路；③ 统一出口，公司或宿舍多人共享时策略一致，避免「有人能看 Netflix，有人被提示地区限制」的尴尬。

与客户端 Split-App 隧道相比，固件分流工作在三层（IP）与七层（SNI）之间，粒度稍粗，但胜在「一次配置，多端生效」。若你已在用 Kuailian 桌面端「AI 分流引擎」，可把固件规则视为「上游总闸」，客户端规则当作「下游微调」，两者互补而非替代。

变更脉络：从 Shell 脚本到可视化 UI

早期 Kuailian 只在开源版 OpenWrt 提供 kuailian-helper.sh，需要 SSH 手写 ipset/iptables。2025Q4 后，官方把配置界面移植到自家固件（基于 mt76x8 & ARMv8 平台），并在 WebUI 新增「策略路由」模块，支持拖拽排序、即时生效，无需重启。截至当前最新版，已提供「域名关键字」「IP 段」「端口范围」「SNI 正则」四组条件，优先级自上而下匹配，命中即停止。

经验性观察：升级固件会保留 /etc/kuailian/rules.json，但 WebUI 结构若发生字段变更，老配置会被静默迁移到新 key，可能出现「规则顺序错乱」。因此每次大版本升级后，务必回到「策略路由」页检查首五条规则是否仍符合预期。

前提检查：你的路由器能否刷 Kuailian 固件

并不是所有硬件都能解锁该功能。官方支持列表可在 https://docs.kuailian.cc/firmware 查询，输入 SoC 型号即可。若你使用的是运营商定制光猫一体机，需先改桥接，再外接支持设备，否则双重 NAT 会导致「规则生效但延迟爆炸」。内存方面，经验值 128 MB RAM 是底线；低于此值，ipset 加载大名单时会把 dnsmasq 挤崩溃。

操作路径：最快三步进入分流面板

桌面浏览器

1. 连接路由器 Wi-Fi，地址栏输入 192.168.8.1（或你在「网络-接口-LAN」里自定义的网关）。
2. 左侧菜单「Kuailian 加速」→ 子项「策略路由」。
3. 右上角开关「启用分流」→ 保存并应用。

手机端（WebUI 轻量模式）

同一局域网内，用浏览器访问 http://192.168.8.1/m 即可唤起响应式布局；功能完整度与桌面一致，只是隐藏了「SNI 正则」输入框，若需填写复杂表达式，建议切回桌面。

规则语法：四行模板速记

Kuailian 固件使用内部 DSL，每行一条，字段用「|」分隔：

类型|条件值|策略|备注
DOMAIN-KEYWORD|googlevideo|PROXY|YouTube 4K
IP-CIDR|13.107.42.14/32|DIRECT|微软登录
SRC-MAC|AA:BB:CC:00:11:22|DIRECT|老板电脑白名单

策略只有三种：PROXY（走 Kuailian 隧道）、DIRECT（本地宽带）、DROP（黑洞，用于广告）。若留空，默认 DIRECT。注意「IP-CIDR」支持 IPv6，但需写成 2001:db8::/32 这种标准格式，否则解析失败会整行失效。

场景映射：把真实需求翻译成规则

案例 1：家里老人只看国内短视频

老人机 MAC 固定，写一条 SRC-MAC|AA:BB:CC:11:22:33|DIRECT|老人机 置顶即可；下方再写 DOMAIN-KEYWORD|tiktok|PROXY，也不会误伤。

案例 2：NAS 每周定时同步 Google Drive

NAS 内网地址 192.168.8.20，写 IP-CIDR|192.168.8.20/32|PROXY|NAS，同步任务即可跑满带宽，无需给 NAS 装任何插件。

例外与取舍：什么时候不该用固件分流

① 公司网络已做深度 TLS 审查：若出口防火墙替换证书，Kuailian 的 ShadowTLS 会被视为「未知指纹」直接重置，此时固件分流再精细也徒劳，建议回退到客户端「量子隧道 2.0」并启用「二次混淆」。② 家用宽带为 CGNAT（100.64.x.x）：部分运营商不给公网 IPv4，导致 UDP 打洞失败，游戏联机依旧高丢包。固件分流只能决定「走不走代理」，无法改善「代理本身打洞失败」的问题。③ 需要随时切换节点：固件层没有「一键换美区/港区」按钮，每次换线都要进 WebUI 或调用 API，不如客户端方便。若你追剧时要频繁换区，建议把「媒体设备」继续留在客户端，而非全部交给固件。

故障排查：规则不生效的 4 个检查点

1. 缓存未刷新：dnsmasq 对域名结果有 300 s TTL，改完规则后执行「网络-DHCP/DNS-重启 dnsmasq」或终端 /etc/init.d/dnsmasq restart。
2. ipset 超限：大名单（如 10 万条广告域）一次性加载会爆内存，日志提示 ipset v7.15: Hash table full，需在「高级-性能」里把 maxelem 调到 524288。
3. IPv6 泄漏：光猫侧仍下发 v6 地址，导致 TikTok 走 v6 直连。可在「网络-接口」把 WAN6 协议设为「已禁用」或写一条 IP-CIDR|::/0|PROXY 兜底。
4. 策略顺序错：写了一条 DOMAIN-KEYWORD|google|DIRECT 又写 DOMAIN-KEYWORD|google|PROXY，前者已命中，后者永不被触发。用「拖拽」把更细规则置顶。

最佳实践清单：上线前 30 秒自检

检查项	通过标准	快速验证
固件版本	≥ 2026.02 分支	系统-备份/升级-查看 commit
节点延迟	中位数 < 200 ms	Kuailian 面板-节点测速
规则条数	≤ 500 行	策略路由页脚计数器
内存占用	空闲 > 20 %	状态-概览-空闲内存
DNS 回退	8.8.8.8 可解析	诊断-网络工具-nslookup google.com 8.8.8.8

验证与观测方法：如何确认规则真的跑了

1. 实时计数器：WebUI「策略路由」页右侧有「PKTS」列，刷新一次页面若数字上涨，说明匹配成功。
2. 抓包对照：笔记本执行 curl --resolve googlevideo.com:443:172.217.0.46 https://googlevideo.com，同时在路由器 tcpdump -i any host 172.217.0.46，若看到源 IP 被 NAT 成 10.x 隧道地址，则 PROXY 生效。
3. 客户端侧 DNS 泄漏测试：访问 https://dns.leaktest.com，若返回的 DNS 服务器是「Kuailian-DoH-SG」，说明域名规则也命中。

不适用场景速览

• 宿舍 802.1X 认证网络：无法桥接，路由器自身都拿不到 IP。
• 需要 Portal 二次认证的酒店 Wi-Fi：Kuailian 固件无法弹出认证网页，导致 WAN 口被隔离。
• 单臂路由 + 主路由为华为 H6：华为会强制走自家「家庭存储」插件，与 ipset 冲突，出现随机 reboot。

FAQ（结构化数据，利于富结果）

版本差异与迁移建议

2025 旧版固件使用 iptables-restore 语法，升级后会被自动转译为 nftables，但「端口范围」语法从 1024:65535 改为 1024-65535，若你之前手动备份了 firewall.user，重新导入会报错。官方迁移脚本位于 /lib/kuailian/migrate.sh，升级前先在 SSH 执行 sh /lib/kuailian/migrate.sh --check，可预览不兼容行数。

未来趋势：更轻量、更可视

经验性观察，Kuailian 计划在 2026 下半年将「策略路由」拆成独立 App，支持云端拖拽模板、多人协同编辑；同时引入 eBPF 路径，以节省 30% CPU。若你打算长期持有同款硬件，可保持每月关注「系统-备份/升级」里的灰度通道，提前尝鲜。

收尾：下一步行动

固件分流的价值在于「一次写好，全家受益」。读完本文，你只需：

1. 确认路由器在支持列表并完成刷机；
2. 按「四行模板」把最常访问的 20 个域名或 MAC 写成规则；
3. 用「PKTS 计数器 + DNS 泄漏」双重验证；
4. 每月月初备份 /etc/kuailian/rules.json 到 GitHub 私有仓库，升级前 diff 一下，就能安心追新固件。

若后续需要更细粒度（如单应用指纹），再回到客户端开启「AI 分流引擎」即可，两条战线互不冲突。祝你配置顺利，早日实现「路由器默默工作，全家无感翻墙」的清净状态。