Surge-Loyalsoldier.conf

[General]
# --- GENERAL ---
# > 使用 WiFi 尝试建立连接后，如果一秒钟内仍未完成，则再使用数据网络尝试连接。选择最先完成的 TCP 连接。
wifi-assist = true
# > 增强版 Wi-Fi 助理，直接并发建立两个 TCP 连接，选择最先完成的 TCP 连接。 开启后，等同于对所有策略设置 hybrid = true，所有 TCP 连接在建立时均会并发尝试数据网络和 WiFi 连接。
all-hybrid = false
# > 提高处理 UDP 流量的优先级，当系统负载高时会有比较明显的作用
udp-priority = true
# > Internet 测试 URL
internet-test-url = http://wifi.vivo.com.cn/generate_204
# > 代理测速 URL
proxy-test-url = http://cp.cloudflare.com/generate_204
# proxy-test-url = http://www.gstatic.com/generate_204
# > 测试超时（秒）
test-timeout = 2
# > 自定义 GeoIP 数据库
geoip-maxmind-url = https://cdn.jsdelivr.net/gh/Hackl0us/GeoIP2-CN@release/Country.mmdb
#geoip-maxmind-url = https://cdn.jsdelivr.net/gh/NobyDa/geoip@release/Private-GeoIP-CN.mmdb
#geoip-maxmind-url = https://cdn.jsdelivr.net/gh/Loyalsoldier/geoip@release/geoip-only-cn-private.dat
# > GeoIP 数据库自动更新
disable-geoip-db-auto-update = false
# > IPv6 支持
ipv6 = false
# > 隐藏状态栏上的VPN图标，启动该选项可能导致「Cannot allocate memory」系统错误，请谨慎使用。
hide-vpn-icon = false
# > 开启后 Surge 在切换网络后不再重新进行 VPN 配置
fast-switch = true

# --- Wi-Fi ACCESS ---
# > 开启s5:6153和http:6152代理
allow-wifi-access = false
# wifi-access-http-port = 6152
# wifi-access-socks5-port = 6153
# > Allow Hotspot Access（热点分享代理）
allow-hotspot-access = true

# --- REMOTE CONTROLLER ---
# > 允许 Surge 请求查看器或 Surge CLI 进行管理控制
# external-controller-access = mieq@0.0.0.0:6165
# > HTTP-API & Web Dashboard
# http-api = mieq@0.0.0.0:6166
# http-api-tls = false
# > 开启该选项后可以通过浏览器控制 Surge，本机浏览器输入127.0.0.1:6166
# http-api-web-dashboard = true

# --- COMPATIBILITY ---
# > 兼容模式 (仅 iOS)
# compatibility-mode = 0
# > 跳过代理
skip-proxy = 239.255.255.250/32, 127.0.0.1, 192.168.0.0/16, 193.168.0.0/24, 172.16.0.0/12, 100.64.0.0/10, 10.0.0.0/8, 17.0.0.0/8, localhost, *.local, *.crashlytics.com, passenger.t3go.cn, iosapps.itunes.apple.com,www.baidu.com,yunbusiness.ccb.com,wxh.wo.cn
# > 排除简单主机名
exclude-simple-hostnames = true

# --- DNS ---
# > DNS 服务器，system和自定义并发查询
dns-server = 223.5.5.5, 119.29.29.29
# > 从 /etc/hosts 读取 DNS 记录
# read-etc-hosts = true
# > 加密的DNS服务器(如无必要不建议使用)
# encrypted-dns-server = h3://223.5.5.5/dns-query,https://dns.alidns.com/dns-query
# > 关闭 DOH 的服务端证书验证
# encrypted-dns-skip-cert-verification = true
# > 开启该选项后，如果访问的域名配置有本地 DNS 映射，surge 将使用本地 IP 地址进行请求，不在远端进行解析。仅对配置了 IP 地址的本地 DNS 映射生效。本地DNS映射[host]
# use-local-host-item-for-proxy = false
# > 使加密 DNS 请求通过代理策略执行
# encrypted-dns-follow-outbound-mode = false

# --- ROUTING ---
# > 包含所有的网络请求
include-all-networks = false
# > 包含本地网络请求
include-local-networks = false

# --- ADVANCED ---
# > 日志等级 verbose、info、notify、warning
loglevel = warning
# > 当遇到 REJECT 策略时返回错误页
show-error-page-for-reject = true
# > 当 Surge VIF 处理 DNS 问题时，此选项要求 Surge 返回一个真正的 IP 地址，而不是一个 Fake IP，DNS 数据包将被转发到上游 DNS 服务器
always-real-ip = *.msftconnecttest.com, *.msftncsi.com, *.srv.nintendo.net, *.stun.playstation.net, xbox.*.microsoft.com, *.xboxlive.com, *.logon.battlenet.com.cn, *.logon.battle.net, stun.l.google.com
# > Hijack DNS，默认情况下，Surge 只对发送到 Surge DNS 地址(198.18.0.2)的 DNS 查询返回 Fack IP 地址。发送到标准 DNS 的查询将被转发。如 Google 系智能硬件产品会无视 DHCP 配置强行使用 8.8.8.8 和 8.8.4.4，需要配置 Surge 强行劫持才可以正常工作
# hijack-dns = 8.8.8.8:53, 8.8.4.4:53
# TCP Force HTTP Hosts
# 使 Surge 将 TCP 连接视为 HTTP 请求。Surge HTTP 引擎将处理请求，并且所有高级功能都将可用，如截取、重写和脚本
# 支持通配符 * 及 ?；
# 使用前缀 - 排除主机名；
# 默认情况下，只对 80 端口的请求进行处理（使用 example.com:443 指定端口或 example.com:0 表示所有端口）；
# <ip-address> 表示匹配所有主机名为 IP 地址的连接；
# <ipv4-address> 表示匹配所有主机名为 IPv4 地址的连接；
# <ipv6-address> 表示匹配所有主机名为 IPv6 地址的连接。
force-http-engine-hosts = *.ott.cibntv.net, 123.59.31.1,119.18.193.135, 122.14.246.33, 175.102.178.52, 116.253.24.*, 175.6.26.*, 220.169.153.*

# > VIF Excluded Routes。Surge VIF 只能处理 TCP 和 UDP 协议。使用此选项可以绕过特定的 IP 范围，允许所有流量通过。
# tun-excluded-routes = 192.168.0.0/16, 10.0.0.0/8, 172.16.0.0/12
# > VIF Included Routes。默认情况下，Surge VIF 接口会声明自己是默认路由。但是，由于 Wi-Fi 接口的路由较小，有些流量可能不会通过 Surge VIF 接口。使用此选项可以添加一条较小的路由。
# tun-included-routes = 192.168.1.12/32
# 当 Wi-Fi 不是首选网络时 SSID 组策略使用默认策略
use-default-policy-if-wifi-not-primary = false
# > UDP IP 防泄漏，控制当 UDP 流量被匹配到一个不支持 UDP 转发的策略时的行为。如果没有代理服务器支持 UDP 转发，可修改为「 direct 」或注释下条，但需注意同一目标主机名 TCP 请求与 UDP 请求的源地址不同所造成的隐私及安全风险。
# - DIRECT：回退到 DIRECT 策略（默认）
# - REJECT：回退到 REJECT 策略
udp-policy-not-supported-behaviour = REJECT

[Replica]
# > 隐藏 Apple 请求
hide-apple-request = 1
# > 隐藏崩溃追踪器请求
hide-crash-reporter-request = 1
# > 隐藏 UDP 会话
hide-udp = 1
# > 关键词过滤器
# keyword-filter-type = none
# > 关键词
# keyword-filter = (null)

[Proxy]
#!include proxy.dconf, subscribe.conf

[Proxy Group]
#!include proxy.dconf

[Rule]
DOMAIN-SET,https://cdn.jsdelivr.net/gh/Loyalsoldier/surge-rules@release/private.txt,DIRECT
DOMAIN-SET,https://cdn.jsdelivr.net/gh/Loyalsoldier/surge-rules@release/reject.txt,REJECT
RULE-SET,SYSTEM,DIRECT
DOMAIN-SET,https://cdn.jsdelivr.net/gh/Loyalsoldier/surge-rules@release/icloud.txt,DIRECT
DOMAIN-SET,https://cdn.jsdelivr.net/gh/Loyalsoldier/surge-rules@release/apple.txt,DIRECT
DOMAIN-SET,https://cdn.jsdelivr.net/gh/Loyalsoldier/surge-rules@release/google.txt,DIRECT
DOMAIN-SET,https://cdn.jsdelivr.net/gh/Loyalsoldier/surge-rules@release/proxy.txt,Proxy,force-remote-dns
DOMAIN-SET,https://cdn.jsdelivr.net/gh/Loyalsoldier/surge-rules@release/direct.txt,DIRECT
RULE-SET,https://cdn.jsdelivr.net/gh/Loyalsoldier/surge-rules@release/telegramcidr.txt,Proxy
RULE-SET,https://cdn.jsdelivr.net/gh/Loyalsoldier/surge-rules@release/cncidr.txt,DIRECT
RULE-SET,LAN,DIRECT
FINAL,Proxy,dns-failed

[Host]
# > Firebase Cloud Messaging
mtalk.google.com = 108.177.125.188
# > Google Dl
dl.google.com = server:119.29.29.29
dl.l.google.com = server:119.29.29.29
update.googleapis.com = server:119.29.29.29
# > PlayStation
*.dl.playstation.net = server:119.29.29.29
# Apple TestFlight
*testflight.apple.com = server:8.8.4.4

[URL Rewrite]
# 以下为Safari全能搜索、需要把Safari的搜索引擎设置为：DuckDuckGo
# gh (GitHub) header
^https:\/\/duckduckgo.com\/\?q=gh\+([^&]+).+ https://github.com/search?q=$1 302
# wb (微博) header
^https:\/\/duckduckgo.com\/\?q=wb\+([^&]+).+ https://s.weibo.com/weibo/$1 302
# wx (微信) header
^https:\/\/duckduckgo.com\/\?q=wx\+([^&]+).+ https://weixin.sogou.com/weixinwap?query=$1 302
# bi (必应) header
^https:\/\/duckduckgo.com\/\?q=bi\+([^&]+).+ https://cn.bing.com/search?q=$1 302
# bd (百度) header
^https:\/\/duckduckgo.com\/\?q=bd\+([^&]+).+ https://www.baidu.com/s?wd=$1 302
# 无指令 (Google) header
^https:\/\/duckduckgo.com\/\?q=([^&]+).+ https://www.google.com/search?q=$1 302

[SSID Setting]
Freeloader_5G cellular-fallback=off
TYPE:CELLULAR tfo-behaviour=force-disabled

[MITM]
# > 跳过服务端证书验证
# skip-server-cert-verify = true
# > VIF 对原始 TCP 流量进行解密
# tcp-connection = true
# > MITM over HTTP/2
h2 = true
# > CA 证书
hostname = duckduckgo.com, -*snssdk.com, -*amemv.com
# > 需要解密的域名
ca-keystore-name = CA