教程

ClashFX 增强模式(TUN)使用教程

发布于 2026-03-01 · 最后更新 2026-03-01

什么是增强模式

增强模式（Enhanced Mode）是 ClashFX 的核心功能之一，通过创建 TUN 虚拟网卡 在系统网络层拦截所有流量，实现真正的全局代理。

与系统代理的区别

特性	系统代理	增强模式 (TUN)
工作层级	应用层（HTTP/SOCKS）	网络层（TCP/UDP）
覆盖范围	仅遵循系统代理设置的应用	所有应用的所有流量
终端/CLI 工具	通常不走代理	自动走代理
游戏/特殊应用	大多数不支持	全部支持
权限要求	无	管理员权限（首次）
性能影响	极低	略高但可忽略

简单来说：系统代理只能代理浏览器等「听话」的应用，而增强模式能代理一切网络流量——包括终端里的 git、curl、brew，以及各种不走系统代理的应用。

开启增强模式

操作步骤

点击菜单栏 ClashFX 图标
选择 增强模式
点击启用
首次开启需要输入管理员密码授权

授权成功后，增强模式立即生效。菜单中的「增强模式」前会出现勾号标记。

首次权限授权

增强模式需要安装一个系统扩展来创建 TUN 虚拟网卡。首次开启时：

macOS 会弹出密码输入框，输入你的登录密码
可能还会弹出「系统扩展」相关提示，按提示前往系统设置允许
授权完成后，后续开关增强模式不再需要密码

如果授权过程中遇到问题，可以尝试：

确保你的账户有管理员权限
检查「系统设置 → 隐私与安全性」中是否有待允许的扩展
重启 ClashFX 后再试

工作原理

增强模式的技术原理：

ClashFX 创建一个 TUN 虚拟网卡（类似 VPN 接口）
修改系统路由表，将所有流量指向这个虚拟网卡
流量经过 ClashFX 的代理引擎处理
根据配置文件中的规则决定走代理还是直连
使用 gVisor 用户空间网络栈处理流量，提供更好的安全性

整个过程对用户透明，开启后所有应用的网络请求自动经过 ClashFX 处理。

使用场景

终端和命令行工具

开发者最常遇到的问题是终端工具不走系统代理。开启增强模式后，以下场景自动生效：

# 这些命令会自动走代理
git clone https://github.com/...
brew install ...
curl https://api.example.com
npm install
pip install

无需再手动设置 http_proxy / https_proxy 环境变量。

游戏和特殊应用

部分游戏和应用有自己的网络实现，不遵循系统代理。增强模式可以代理这些应用的所有流量。

DNS 防泄漏

增强模式配合 Fake-IP 或 redir-host DNS 模式使用，可以防止 DNS 查询泄露到 ISP，保护隐私。

全局代理需求

如果你需要确保所有流量都经过代理（例如安全审计、网络测试等场景），增强模式是唯一的可靠选择。

DNS 配置

增强模式下 DNS 配置尤为重要。ClashFX 支持两种 DNS 增强模式：

Fake-IP 模式（推荐）

dns:
  enable: true
  enhanced-mode: fake-ip
  fake-ip-range: 198.18.0.1/16
  nameserver:
    - 223.5.5.5
    - 119.29.29.29
  fallback:
    - tls://1.1.1.1:853
    - tls://8.8.8.8:853

Fake-IP 模式下，ClashFX 会返回一个假的 IP 地址给应用，然后在内部解析真实 IP 并建立连接。优点是速度快、防泄漏。

redir-host 模式

dns:
  enable: true
  enhanced-mode: redir-host
  nameserver:
    - 223.5.5.5
    - 119.29.29.29

redir-host 模式会进行真实的 DNS 解析。兼容性更好，但可能有 DNS 泄漏风险。

大多数用户建议使用 Fake-IP 模式，它在速度和隐私之间取得了最好的平衡。

性能考虑

增强模式会引入一定的性能开销，因为所有流量都需要经过 ClashFX 处理。但在实际使用中，这个影响通常可以忽略：

延迟增加：通常小于 1ms
吞吐量：gVisor 用户空间栈的性能足够日常使用
内存占用：会比系统代理模式略高

如果你对性能有极致要求（例如大文件传输、局域网通信），可以在配置文件的规则中添加直连规则，让局域网流量绑过代理。

建议的直连规则

rules:
  - IP-CIDR,192.168.0.0/16,DIRECT
  - IP-CIDR,10.0.0.0/8,DIRECT
  - IP-CIDR,172.16.0.0/12,DIRECT
  - IP-CIDR,127.0.0.0/8,DIRECT

增强模式与代理模式的配合

增强模式决定的是「哪些流量经过 ClashFX」（答案是全部），而代理模式决定的是「经过 ClashFX 的流量如何处理」：

增强模式 + 规则模式（推荐）：所有流量都经过 ClashFX，但根据规则判断走代理还是直连
增强模式 + 全局模式：所有流量都走代理节点，包括国内网站
增强模式 + 直连模式：所有流量都直连，增强模式实际没有作用

最推荐的组合是 增强模式 + 规则模式。

常见问题

开启后无法上网

这是最常见的问题，通常由 DNS 配置错误引起：

先关闭增强模式，确认网络恢复
检查配置文件中 dns 部分是否正确
确保 dns.enable 为 true
尝试使用上面推荐的 Fake-IP 配置

权限被拒绝

如果开启时提示权限错误：

确认使用管理员账户
前往「系统设置 → 隐私与安全性」检查是否有待授权项
尝试重启 Mac 后再开启

部分应用异常

极少数应用可能在 TUN 模式下行为异常。可以为这些应用添加进程直连规则：

rules:
  - PROCESS-NAME,问题应用名,DIRECT

下一步

配置文件编辑 — 自定义 DNS 和规则配置
常见问题排查 — 更多故障排查方法
ClashFX vs ClashX — 了解 ClashFX 增强模式的优势

开始使用 ClashFX

免费下载，升级 Pro 获得更流畅的工作流。

下载 ClashFX 配置编辑器

常见问题

增强模式和系统代理有什么区别？

系统代理只能代理遵循系统代理设置的应用（主要是浏览器）。增强模式通过 TUN 虚拟网卡接管所有系统网络流量，包括终端、游戏等不走系统代理的应用。

增强模式需要 Pro 吗？

不需要。增强模式是 ClashFX 免费版的核心功能，所有用户都可以使用。