如何在快连kuailian中仅允许本机使用代理,禁止局域网接入?
功能定位:为什么必须“仅本机”
在 kuailian 的默认配置中,SOCKS5/HTTP 代理端口会绑定到 0.0.0.0,意味着同一局域网内的任何设备都能把流量导向你的电脑,既消耗带宽,也增加被扫描、被利用的风险。把监听地址改为 127.0.0.1 后,代理服务只对本地进程开放,彻底屏蔽外部请求,是“零成本安全加固”的第一步。
版本差异与入口速查
截至当前最新版本(v6.3.0 Quantum),Windows、macOS、Linux headless、Android、iOS 五端均保留“本地代理”开关,但路径与命名略有差异。下列最短可达路径若被后续更新调整,请以实际界面为准。
| 平台 | 入口 | 默认监听地址 |
|---|---|---|
| Windows | 主界面右上角「⚙设置」→「代理设置」→「本地代理」 | 0.0.0.0:10808 |
| macOS | 菜单栏快连图标→Preferences→Proxy→Local Proxy | 0.0.0.0:10808 |
| Linux headless | 编辑 /etc/kuailian/config.json 字段 local_bind | "0.0.0.0:10808" |
| Android | 「我的」→「本地代理」→「监听地址」 | 0.0.0.0:10808 |
| iOS | 「Settings」→「Local Proxy」→「Bind Address」 | 0.0.0.0:10808 |
Windows/macOS 图形界面操作
步骤一:关闭全局监听
打开快连主面板,依次进入「设置」→「代理设置」,找到「本地代理监听地址」输入框,将默认的 0.0.0.0 改为 127.0.0.1。端口若无冲突可保持 10808;若本地已有其他代理,可改为 10809-10820 之间任意数字。点击「保存」,客户端会提示「配置已生效,无需重启」。
步骤二:验证局域网不可达
在同一局域网的手机或另一台电脑执行 telnet 你的电脑IP 10808,若返回「Connection refused」即说明端口已对外关闭。若仍通,请检查是否点错「保存」或本地防火墙策略放行了公共配置文件。
nc -vz 电脑IP 10808 替代。Linux headless 手动改配置
使用你喜欢的编辑器打开配置文件,路径通常为 /etc/kuailian/config.json(若通过 Snap 安装,则在 $SNAP_DATA 下)。定位到:
"local_proxy": {
"bind": "0.0.0.0:10808"
}
将 0.0.0.0 改为 127.0.0.1,保存后执行:
sudo systemctl restart kuailian-daemon
查看监听状态:
ss -lntp | grep 10808
若返回 127.0.0.1:10808 即成功;若仍出现 0.0.0.0,说明配置文件未被加载,请检查是否编辑错路径或 systemd 缓存未刷新。
Android/iOS 移动端设置
移动端本地代理默认关闭,若你曾在「本地代理」里手动打开,才会出现「监听地址」选项。路径较深:进入「我的」→右上角「⚙设置」→「本地代理」,打开「启用本地代理」开关,立即弹出「监听地址」输入框,把 0.0.0.0 改成 127.0.0.1,端口保持默认即可。返回首页,断开再重连一次节点,让配置重载。
经验性观察:部分品牌安卓(如 MIUI)会在锁屏后强制清理后台,导致本地代理失效,需把快连加入「无限制电池」白名单。
回退方案:需要临时共享怎么办?
若你在宿舍或小型办公室,偶尔要把代理共享给室友,可在客户端里把监听地址改回 0.0.0.0,同时用操作系统防火墙做「IP 白名单」兜底。示例:Windows PowerShell(管理员):
New-NetFirewallRule -DisplayName "KuaiLian-Proxy-Whitelist" ` -Direction Inbound -Protocol TCP -LocalPort 10808 ` -RemoteAddress 192.168.1.102,192.168.1.103 -Action Allow
共享结束再把规则禁用即可,避免反复改配置。
与防火墙协同:双层保险
即使已在快连里设置 127.0.0.1,仍建议让系统防火墙兜底,防止软件异常回滚。以 Ubuntu UFW 为例:
sudo ufw deny 10808/tcp
该命令会拒绝所有入站 10808 请求;由于本地回环不受 UFW 控制,本机使用不受影响。
性能与成本考量
把监听地址从 0.0.0.0 改为 127.0.0.1 不会带来可感知的性能损耗,因为数据包少走一次网卡驱动;在百兆以上宽带环境,经验性观察延迟降低约 0.1–0.3 ms,可忽略不计。真正的收益是减少后台握手请求,CPU 占用在高峰时段可下降 1–2 个百分点(因设备而异)。
常见故障排查表
| 现象 | 可能原因 | 验证与处置 |
|---|---|---|
| 改完地址后本机也连不上 | 浏览器插件仍指向旧端口或局域网IP | 把代理地址改成 127.0.0.1:10808 |
| 局域网设备仍能连通 | 配置文件未重载/缓存未刷新 | 重启客户端或 systemd 服务 |
| Linux 改完重启被还原 | Snap 更新覆盖配置 | 把 config.json 设为只读或放 /etc 目录 |
适用/不适用场景清单
- 适用:个人笔记本、单人办公室、公共 Wi-Fi、需要合规审计的企业电脑。
- 不适用:需要把代理共享给同宿舍路由器、NAS 自动分流、团队测试机联合调试。
最佳实践速查表
- 安装后第一时间把监听地址改成 127.0.0.1,养成习惯。
- 用系统防火墙做兜底,防止配置被软件更新回滚。
- 需要共享时,用「防火墙白名单」而非长期放开 0.0.0.0。
- 每次升级后复查监听地址,确保未被安装程序重置。
- 把本文步骤写成脚本或批处理,一键检查端口绑定:
netstat -ano | findstr 10808。
FAQ(结构化数据)
改完 127.0.0.1 后,浏览器却打不开网页?
请检查代理插件是否仍填写旧 IP;把地址改为 127.0.0.1 并保留相同端口即可恢复。
监听地址变灰无法编辑?
说明「本地代理」总开关被关闭;先打开开关,输入框即会高亮可改。
如何确认防火墙规则已生效?
在另一台设备执行 nmap -p 10808 你的IP,若状态为「filtered」即证明防火墙已拦截。
总结与下一步
把 kuailian 的本地代理从 0.0.0.0 改成 127.0.0.1,是成本为零、收益立现的安全加固动作:阻断局域网扫描、减少无效握手、避免合规风险。操作仅需十秒,却能让你在公共 Wi-Fi、公司网、宿舍网等多场景下少一条后顾之忧。升级后别忘了复查监听地址,并把本文「速查表」保存为书签,下次换机或重装系统时直接照单执行。