sing-box 完整进阶教程：次世代通用网络代理骨干 platform (2026 核心版)

一、项目说明：为什么 sing-box 是新一代终极核心

sing-box 是由开源社区知名极客团队 nekohasekai（SagerNet 组织）倾力打造的通用全场景代理平台（The universal proxy platform）。它采用高标准的 GPL v3 开源协议，不仅是一个独立的代理客户端，更是一个具备极高模块化深度的底层网络代理控制台框架。

在当前 2026 年的数字化网络大环境下，传统的 Clash 核心与 V2Ray/Xray 在协议扩展、高并发调度与移动端底层功耗对齐上面面临着或多或少的架构局限。而 sing-box 实现了多端内核的大一统——无论是 Linux 服务器端的骨干网中转、Docker 容器化群组，还是移动端专属图形外壳（SFA / SFI），它们底层运转的都是**完全一致的原生 Cgo 编译核心**。目前行业内高公信力的客户端（如 NekoBox for Android、Hiddify、Clash Verge Rev）均已将底层默认切换或兼容为 sing-box 核心。

二、现代网络架构的核心特性

全协议矩阵通吃：原生覆盖 VLESS（含 Reality 降维打击级混淆）、VMess、Trojan、Shadowsocks、Hysteria 2（基于新一代 QUIC 的高爆发抗丢包协议）、TUIC、WireGuard 乃至 Tailscale 级网格路由。
系统级 TUN 透明代理：内置跨平台高性能 TUN 驱动卡栈，支持全流量托管。在 Android/Apple 平台更是提供了原生的分应用（Per-app）隔离与中国内地 App 自动扫描绕过机制。
颠覆性的 Rule Set 引擎：告别传统数百 KB 的冗长内联规则定义。sing-box 支持预编译的二进制外部规则集（Rule Set），内存占用暴降 80%，过滤匹配吞吐量提升至微秒级。
前沿技术对齐 (1.14.0+)：最新稳定版已正式实装 Hysteria Realm（基于 STUN 打洞的 NAT 穿透服务）、Gecko 深度流量混淆以及私有 mDNS DNS 局域网服务响应。

三、全平台生产环境安装指南

1. Linux 骨干网中转服务器部署

对于 Debian/Ubuntu 生产环境，推荐使用官方的一键自动化部署脚本，可自动配置系统架构与二进制依赖：

# 使用官方源部署最新的稳定版二进制体
curl -fsSL https://sing-box.app/install.sh | sh

# 若需要指定部署 1.13.12 等特定的长期支持版本，可追加参数：
curl -fsSL https://sing-box.app/install.sh | sh -s -- --version 1.13.12
      

2. Docker 容器化集群编排

利用容器化部署可以极大简化配置备份，以下是推荐的 docker-compose.yml 生产环境拓扑：

version: "3.8"
services:
  sing-box:
    image: ghcr.io/sagernet/sing-box:latest
    container_name: sing-box-core
    restart: always
    network_mode: "host" # 强烈建议使用 host 模式以保障 TUN 代理性能与低延迟
    volumes:
      - /etc/sing-box:/etc/sing-box/
    command: -D /var/lib/sing-box -C /etc/sing-box/ run
      

Systemd 守护进程快捷指令速查

若采用普通脚本安装，可通过系统管理器快速控流：
sudo systemctl start sing-box (启动) | sudo systemctl restart sing-box (重载配置) | sudo journalctl -u sing-box --output cat -f (实时追踪内核报文日志)

四、图形化客户端生态 (GUI Containers)

Project S 团队为不习惯写繁琐 JSON 的日常普通用户维护了一整套闭环的官方图形壳，提供无缝的交互式透明代理：

★

Android 端：SFA (sing-box for Android)

包名 io.nekohasekai.sfa。完全脱离传统 VPN 外壳套壳，通过调用 Android 原生 VpnService 与 ForegroundService 双通道混合锁。具备业内最强悍的“中国 App 扫描”功能，能通过检索本地 dex 缓存路径，像素级精准剥离所有国内应用，使其强制回归直连通道。

★

Apple 生态端：SFI / SFM / SFT

分别对应 iOS、macOS 以及 Apple TV。针对非中国大陆 Apple ID 开放。支持直接下发原生 Rule Set，能在 Apple TV (tvOS 17+) 上充当全局软路由中枢，激活全屋智能流媒体。在 macOS 上亦可通过 brew install sfm 快捷部署独立桌面端外壳。

五、解密核心：标准 JSON 配置文件的黄金拓扑结构

不同于 YAML，sing-box 的底层 JSON 配置逻辑极为严密。一个完美的生产级配置文件必须满足以下顶层框架：

{
  "log": {
    "level": "info",
    "timestamp": true
  },
  "dns": {
    "servers": [],
    "rules": []
  },
  "inbounds": [
    // 负责在本地或服务器端开启各种协议的监听端口
  ],
  "outbounds": [
    // 负责定义节点出站，如直连 (direct)、拦截 (block) 以及机场远端专线服务器
  ],
  "route": {
    "rules": [],
    "rule_set": [] // 高性能二进制外部规则集分流挂载点
  }
}
      

日常高频运维原语命令

sing-box check：**修改配置后的第一要务**。深度校验当前 JSON 配置文件的语法完整度与兼容性，规避因漏写逗号引发系统故障。
sing-box format -w -c config.json：自动对混乱的缩进与嵌套字段进行优雅的格式化对齐并重写保存。

六、协议兼容矩阵及 1.14.0+ 核心迁移排障指南

随着新版内核的快速迭代，早期的部分配置字段已被内核作废剔除。如果你的旧版配置文件在新版中引发了报错闪退，请对照下方矩阵与迁移要点完成重构：

历史弃用配置原语 (旧版)	2026 规范重构原语 (新版)	技术调整原因与排障建议
内联 ACME 证书证书域 `{"tls": {"acme": {...}}}`	Certificate Provider 数组组件 `{"certificate_providers": [...]}`	为了支持多证书颁发机构（如同时挂载 Tailscale CA / Let's Encrypt），原语移出内联层。
DNS 规则过滤短语 `"ip_cidr": "geoip-cn"`	evaluate + match_response 组合 `"action": "evaluate"`	防止在 DNS 解析前发生无意义的反向 IP 嗅探，规范了 DNS 的二次响应匹配流。
独立缓存控制开关 `"independent_cache": true`	无需配置（彻底自适应移除）	新版内核全面重构了内部 DNS 路由缓存算法，此字段已失去物理承载意义，直接删除即可。
路由追加缓存定位器 `"store_rdrc": true`	存储映射控制 `"store_dns": true`	字段重命名，统一了 DNS 缓存库与系统文件树的映射语境。

七、高频实战排障 FAQ

Q：sing-box 配置完成后，为什么本地客户端解析 FakeIP 模式时出现间歇性断网，而改为常规直连却正常？

A：这通常是由于本地操作系统的 DNS 缓存生存期 (TTL) 与 sing-box 内部的内核缓存表发生了冲突。解决方案：建议在配置文件的 dns 核心大类中，将 fakeip 的可选参数范围进行收窄，或在 experimental 实验性功能组中开启全局缓存文件落盘（指定 clash_api 挂载下的持久化缓存），这样可以确保频繁网络切换时，伪造 IP 映射不会在系统层发生死锁。

Q：如何利用系统的一键命令直接合并多个复杂的第三方规则集（Rule Set）目录？

A：无需依赖任何外部 Python 或 Node.js 脚本。sing-box 原生自带高并发合并引擎，只需在服务器端或终端执行：
sing-box merge output_final.json -c base_config.json -D rules_dir/
系统将自动扫描 rules_dir 目录下的所有子 JSON 片段，并极其优雅、高效地去重、合并到指定的最终模板中。

sing-box 完整进阶指南：面向未来的通用网络代理骨干平台 (2026 核心版)