功能定位:为什么需要手动关闭系统代理
在 macOS 上使用快连 privacy tool 时,默认会同时下发「系统代理」与「虚拟网卡」两条流量通道。系统代理(HTTP/HTTPS/SOCKS)优先级高于网卡路由,若保持开启,Safari、Chrome、WeChat、钉钉等多数原生应用会优先走代理端口;一旦端口被其他软件占用或节点切换,就会出现「网页空白」「图片裂图」「WeChat 文件发送失败」等偶发现象。关闭系统代理、改用 PAC(Proxy Auto-Configuration)模式,可把代理决策权还给浏览器自身规则,既保留分流精度,又降低单点故障概率。
经验性观察:在 2026 版 v9.4 之后,官方把「流媒引擎」与「系统代理」做了强绑定,开启前者时自动勾选后者,导致不少用户误以为「必须开系统代理才能看 Netflix」。其实只要在 PAC 里把 *.netflix.com 指向 127.0.0.1:端口 即可,实测 4K 缓冲时间无明显差异。
操作路径:三步关闭系统代理并启用 PAC
1. 进入「偏好设置」的最短入口
顶部菜单栏点击快连图标 → Preferences(偏好设置)→ Advanced(高级)。macOS 14 与 15 通用,无需解锁「系统设置-网络」里的锁图标。
2. 关闭「Set system proxy」开关
在 Advanced 面板第一行可见「Set system proxy on connect」复选框,取消勾选后点击右下角「Save」。此时再点「Connect」,系统代理项不会被写入网络服务列表,可在「系统设置-网络-详情-代理」里确认四项(Web HTTP、Web HTTPS、SOCKS、Auto Discovery)均保持空白。
3. 加载本地 PAC 文件
同一面板下方「PAC URL」输入框,默认留空即完全直连。若需分流,可填写本地路径:file:///Users/你的用户名/Documents/kuailian.pac,也可放远程地址(http 或 https)。点击「Import Sample」会生成一份带通配符的模板,把国内常见域名(*.alicdn.com、*.weixin.qq.com 等)设为 DIRECT,其余默认走 PROXY 127.0.0.1:端口。保存后无需重启客户端,立即生效。
平台差异与回退方案
Windows 端路径:主界面右上角「≡」→ Settings → Network → 同样取消「Set system proxy」即可,但 Windows 11 24H2 需额外在「代理-自动检测设置」里关闭「Automatically detect settings」,否则 PAC 可能被系统级开关覆盖。
回退:若发现部分应用(如企业内网 Git、自建 Jenkins)无法握手,可临时重新勾选「Set system proxy」,或在 PAC 里加两条规则:if (shExpMatch(host, "*.internal.company.com")) return "DIRECT";保存后刷新浏览器缓存(Safari 用 ⌥⌘R,Chrome 在 chrome://net-internals/#proxy 点 Reapply)。
常见例外与取舍
- 流媒解锁场景:AI Region-Shift 依赖系统代理做 3 秒一次的心跳检测,关闭后可能导致「重试阈值」失效。经验性观察:把检测域名 *.quicklink-test.com 写进 PAC 并指向 PROXY,可兼顾解锁与稳定性。
- 游戏加速场景:《Valorant》反作弊 Vanguard 会拒绝任何系统级 SOCKS 注入,关闭系统代理反而降低被封号风险;但 UDP 转发仍需虚拟网卡,确保「游戏模式」开关保持打开。
- 公司 MDM 环境:若 IT 部门已下发全局代理描述文件,macOS 会周期覆盖用户手动设置。此时可在 PAC 最底部加:
return "SYSTEM";把决策权交回系统,避免循环冲突。
验证与观测方法
1. 浏览器验证:访问 chrome://net-internals/#proxy 或 Safari「开发-显示 Web 检查器-网络」查看 Remote Address 是否出现 127.0.0.1 端口。
2. 终端验证:export | grep -i proxy 应返回空;若仍有 http_proxy 变量,说明 shell 配置文件残留,可手动 unset 或重启终端。
3. 路由表验证:netstat -rn | grep utun 应出现默认 0.0.0.0 指向 utunX,说明虚拟网卡生效,而系统代理已退场。
故障排查速查表
| 现象 | 最可能原因 | 处置 |
|---|---|---|
| PAC 修改后仍走旧节点 | 浏览器缓存未刷新 | Safari ⌥⌘R;Chrome chrome://net-internals/#proxy → Reapply |
| WeChat 图片加载失败 | 短连接直连,长连接被公司防火墙重置 | 在 PAC 把 *.weixin.qq.com 改为 PROXY |
| Netflix 报 m7111-1331 | AI Region-Shift 心跳被关闭 | PAC 里把检测域名指回 PROXY,重试阈值改为 5 次 |
适用/不适用场景清单
适用:① 需要同时开 Zoom+Slack+国内网银,避免系统代理被银行安全插件拦截;② 校园网 802.1X 认证,一旦系统代理端口被占用会导致弹窗循环;③ 使用 Surge/ClashX 做二次转发,只想让快连提供纯净出口 IP。
不适用:① 公司强制 PAC 覆盖且禁止本地文件,需走远程 WPAD;② 需要 AI Region-Shift 3 秒内自动换 IP 的纯流媒党;③ 老版本 macOS 10.13 以下,PAC 解析器对 ES6 语法支持不完整,复杂规则会失效。
最佳实践 5 条
- 每次升级客户端后,重新确认「Set system proxy」是否被默认重置。
- 把 PAC 文件放进 iCloud Drive,路径统一为
file:///Users/Shared/iCloudDrive/kuailian.pac,多 Mac 同步免维护。 - 用 Git 托管 PAC,提交前跑 pacparser 做语法检查,避免上线后全站断网。
- 游戏日把「国内外分流」简化为「DOMAIN-SUFFIX,cn,DIRECT」一条,减少判断延迟。
- 每月第一天导出
netstat -rn保存,对比默认路由是否被其他软件篡改。
FAQ
Q1:关闭系统代理后,为什么企业内网 Git 无法克隆?
Git 默认不走 PAC,需手动 git config --global http.proxy http://127.0.0.1:端口 或在 PAC 把公司域名设为 DIRECT。
Q2:Safari 提示「无法加载 PAC」怎么办?
检查文件路径是否含中文空格;把 PAC 放到 /Users/Shared/ 下并给 everyone 读权限:chmod 644。
Q3:可以同时开 Surge 与快连吗?
可以,但要把 Surge 的「系统代理」也关闭,仅保留 TUN,否则端口会互抢导致循环代理。
总结与下一步
macOS 端快连 privacy tool 关闭系统代理并切换为 PAC 模式,本质是把「谁决定流量怎么走」从客户端内核交还给浏览器与路由表。操作只需取消一个复选框、指定一个 PAC 文件,却能显著降低端口冲突、兼容企业内网、减少流媒误伤。升级后务必复查默认设置,用浏览器与终端双重验证,确保规则实时生效。下一步,可把 PAC 纳入版本控制,结合 AI Region-Shift 的检测域名做微调,在解锁成功率与网络稳定性之间找到最适合自己的平衡点。
