局域网共享本机 Clash：allow-lan 与 Windows 防火墙放行操作指南（2026）

1. 场景与前提：和「只给本机用」差在哪里

默认情况下，不少模板会把代理监听绑在回环地址 127.0.0.1上。这对「只有本机浏览器、本机终端」足够安全，因为操作系统不会把来自局域网里其他设备的 TCP 连接交给这个套接字。要让手机连上你电脑的 7890一类端口，必须同时满足两件事：第一，Clash 进程要在可被局域网访问的接口上监听（常见写法是绑定 0.0.0.0或显式 LAN IP，而不是仅限 127.0.0.1）；第二，许多发行版在配置里还有一层allow-lan语义，用来声明「允许非本机来源连入代理端口」，避免误开全网监听。二者缺一不可的典型表现是：本机 curl 通、手机同一 Wi‑Fi 下却超时，日志里甚至没有入站记录。

另外要区分系统代理自动下发与手动填 HTTP/SOCKS：Windows 上给「本机」勾选系统代理，并不会自动把设置推送到你的 iPhone；手机和平板通常需要在 Wi‑Fi 详情里手动填「代理服务器」主机名（你电脑的局域网 IP）和端口（多为 mixed-port）。若你连订阅导入、节点选择仍不熟，可先过 订阅导入教程，保证 PC 端本身稳定，再扩展到局域网。

2. allow-lan、bind-address 与 mixed-port 分别管什么

mixed-port在 mihomo生态里通常指「同一 TCP 端口上同时处理 HTTP 代理与 SOCKS」的混合入站，具体是否启用、默认端口号取决于你的配置片段与客户端封装。对用户而言，记住一句即可：手机或浏览器里填的「端口」，必须与 YAML 或界面里显示的 mixed 端口一致；若你拆成了独立的 port（HTTP）与 socks-port，就要在终端上分别填两种代理类型，不要把 SOCKS 端口填进只接受 HTTP CONNECT 的字段里。

bind-address决定监听套接字绑在哪张地址上。*或 0.0.0.0一类写法表示「所有 IPv4 接口」，局域网设备才能通过你的 192.168.x.x访问到该端口。若绑定成 127.0.0.1，即便打开了 allow-lan，从网络栈角度外部 SYN 也到不了监听队列，表现为手机侧一直连接失败。某些 GUI 会用「仅本地 / 允许局域网」_toggle_ 间接改这两项，底层仍应对照生成的 YAML 复核。

allow-lan为布尔或等价选项，语义是「是否接受来自非本机的入站代理连接」。它与防火墙不同：防火墙在操作系统边界，allow-lan 在应用配置边界。实务中常见错误是只改了 GUI 上的「Allow LAN」却未改 bind，或反之；排错时应两边都看。IPv6 环境若使用 [::]监听，还要确认手机与路由器是否走 v6，本文以最常见的IPv4 家用路由为主。

3. 配置示例：YAML 与常见 GUI 开关对照

下面是一段示意性片段（端口请换成你自己的规划），用于理解三个字段如何同时出现。键名以当前 mihomo文档为准，若你使用的衍生内核有别名，请以导出的运行配置为准。

# Example only — replace 7890 with your mixed-port
mixed-port: 7890
allow-lan: true
bind-address: '*'

在 Clash Verge Rev等客户端中，通常能在「内核设置 / 端口 / 允许局域网」附近找到对应项；修改后务必重启内核或重载配置，再用本机 netstat -an或 PowerShell 的 Get-NetTCPConnection确认 0.0.0.0:7890处于 Listen。若仍显示 127.0.0.1:7890，说明绑定未生效，手机侧不可能连通。

4. 查 Windows 局域网 IP，其他设备代理主机填什么

手机上的「代理主机名」应填运行 Clash 的那张网卡在当前局域网中的 IPv4 地址，一般是 192.168.0.x或 192.168.31.x等私网段。可在 Windows 终端执行 ipconfig，在正在上网的适配器（无线局域网适配器 WLAN 或以太网）下查看 IPv4 地址。若电脑同时连着有线与 Wi‑Fi，注意别填错Disconnected 的那张。路由器若开启「AP 隔离」或「访客网络隔离」，会导致手机看得到 Wi‑Fi 却 ping 不通电脑，需要在路由管理后台关闭客户端隔离或把手机与电脑放在同一 SSID 与同一 VLAN。

填写的完整形态通常是：HTTP 代理主机 192.168.1.23、端口 7890（示例）。HTTPS 流量在显式代理模型下仍走 HTTP CONNECT，故手机「HTTPS 代理」一栏常与 HTTP 填相同主机与端口，具体以系统 UI 为准。若某 App 只支持 SOCKS5，则需在配置里找到 SOCKS 入站端口（未开 mixed 时）并改填类型。

5. Windows 防火墙：为 mixed-port 添加入站规则

Windows Defender 防火墙默认可能拦截来自子网的入站 TCP，表现是 Clash 已监听 0.0.0.0，本机访问正常，手机却超时。建议为你的 mixed-port 添加一条明确的入站允许规则，而不是整体关闭防火墙。图形路径大致为：控制面板或「Windows 安全中心」→ 防火墙 → 高级设置 → 入站规则 → 新建规则 → 端口 → TCP → 特定本地端口（填你的 mixed-port）→ 允许连接 → 作用域可选「仅限专用网络」→ 命名如「Clash mixed-port LAN」。

若你安装了第三方安全软件，它可能在 Windows 防火墙之外再套一层过滤，需要在对应套件里同样放行该端口。公司域策略有时会强制推送规则，个人用户较少遇到，但若始终不通且本机规则已加，可请管理员确认组策略是否禁止入站。放行范围上，家庭路由器内网一般可接受「专用配置文件」；在咖啡厅等不可信 Wi‑Fi上不建议对公网侧开放任何代理端口，下文还会强调。

6. 手机与第二台电脑：HTTP 代理与 SOCKS 怎么选

iOS可在「无线局域网 → 当前网络 → 配置代理 → 手动」中填写服务器与端口。Android 各厂商菜单位置略有差异，有的在 Wi‑Fi 详情长按修改网络。设置完成后，用 Safari 或 Chrome 打开一个纯 IP 检测页，观察出口 IP 是否随 Clash 节点变化，可快速验证。注意：系统级 HTTP 代理并不保证每一个 App 都遵守，部分应用使用自己的网络栈或 QUIC，需要单独在 App 内配置或使用支持分流的外部客户端。

第二台 Windows 或 macOS可在系统网络设置里填 HTTP/HTTPS 代理指向第一台电脑的 IP 与 mixed-port，与第一台本机填 127.0.0.1不同，这里必须填局域网 IP。终端工具如 curl可临时用环境变量 HTTPS_PROXY=http://192.168.1.23:7890验证。若第二台机器也需要完整分流而不是单条命令，可考虑在其本机再跑轻量客户端并订阅同一份配置，那是另一种运维模型，与「共享一台出口机」成本不同。

7. 安全与隐私：何时不该开局域网监听

打开 allow-lan并把监听绑到 0.0.0.0，意味着同一二层广播域内任何知道你 IP 与端口的人都可以尝试把你的 Clash 当跳板。宿舍、合租、办公室共享网段时，要假设存在误连或恶意扫描。最小化原则包括：只在需要共享的时段开启；路由器层面对访客 SSID 做隔离；防火墙规则限制源网段；以及避免在公共热点上长期暴露代理端口。若你使用带认证的订阅，仍应注意代理本身通常不提供应用层账号密码与 HTTP 代理标准无关，不要误以为「别人连上也需要密码」。

从合规角度，请确保你对网络出口的使用符合当地法规与接入点服务条款。本文仅做技术说明，不构成任何绕过管控的建议。家庭场景下，更稳妥的长期方案有时是在路由器或专用网关上运行代理，而不是依赖一台睡眠不定的笔记本；但若你当前只有 PC，按本文步骤把局域网共享跑通，通常是最快路径。

8. 排错清单

下表汇总高频原因，建议从上到下逐项排除。