本文由 Clash 官方中文网 整理。图形客户端能满足大多数日常需求,但当你需要查看实时连接、排查哪条规则命中了哪个节点,或在服务器上无界面运行 Mihomo 核心时,外部控制(External Controller) 就显得不可或缺。通过 RESTful API,第三方 Web 面板(如 YACD、metacubexd)可以在浏览器中呈现流量、日志与策略组状态,成为进阶用户的「运维仪表盘」。本文介绍如何安全开启外部控制,并高效使用 Dashboard 管理 Clash。
外部控制 API 是什么
Mihomo / Clash Meta 在本地或局域网监听一个 HTTP API 端口(默认 9090),对外提供查询与操作接口:读取配置、切换出站、测速、查看连接列表、关闭连接等。图形客户端的许多操作,底层也是通过同一套 API 完成。
Web Dashboard 本身不嵌入核心,而是作为前端连接该 API,将数据可视化。因此,只要 API 地址与密钥配置正确,你可以在任意设备浏览器上管理运行在电脑、软路由或 VPS 上的核心实例。
外部控制是「遥控器」,Dashboard 是「遥控器上的屏幕」——先打开 API,再配对面板。
基础配置示例
在 YAML 配置顶层添加 external-controller 与可选的 secret:
external-controller: 127.0.0.1:9090
secret: "your-random-secret"
external-ui: ./dashboard127.0.0.1 表示仅本机可访问,是最安全的默认选择。若需局域网内其他设备管理,可改为 0.0.0.0:9090,但必须设置足够复杂的 secret,并在防火墙中限制来源 IP。
部分发行版支持 external-ui 指定内置静态面板目录;也可使用独立托管的 YACD / metacubexd,在面板设置里填写 API 地址与密钥即可连接。
常用 Web 面板
- YACD:经典轻量面板,支持连接列表、规则测试、策略组切换,适合桌面浏览器。
- metacubexd:面向 Meta 内核优化,界面现代,支持移动端,功能覆盖日志、连接、配置预览。
- Clash Verge Rev 内置页:部分客户端已集成 Dashboard 入口,实质仍连接本地 API。
连接时在面板中填写 http://127.0.0.1:9090(或服务器 IP),并在 Secret 栏填入与配置文件一致的密钥。成功连接后,即可看到实时上传/下载速率与活跃连接数。
Dashboard 能帮你做什么
连接与日志排查
「连接」页面列出当前所有 TCP/UDP 会话,显示目标域名、命中规则、使用的策略组与节点。某网站打不开时,在这里往往一眼能看出是规则直连了、还是节点超时。配合「日志」页的 debug 级别输出,可追踪 DNS 解析与规则匹配细节。
策略组与测速
无需回到主客户端,可在面板直接切换「节点选择」或触发 url-test 测速。对远程服务器上的核心,这意味着用手机浏览器也能换节点,省去 SSH 操作。
规则测试
部分面板提供 Rule Test 工具,输入域名或 IP 即可模拟匹配结果,验证新规则是否按预期走 DIRECT 或 PROXY,比盲目改配置高效得多。
安全注意事项
未授权访问 API 等于把代理控制权完全暴露。务必遵守以下原则:
- 本机使用优先绑定
127.0.0.1,不要随意暴露公网。 - 必须设置高强度
secret,并在面板连接时启用 HTTPS 或反向代理 TLS(生产环境推荐)。 - VPS 上若开放 9090,请用防火墙仅允许自己的 IP,或通过 SSH 隧道访问。
- 公共网络勿使用无密钥的开放 API,防止他人消耗流量或篡改出站。
命令行核心 + Dashboard 典型流程
在 Linux 服务器部署 Mihomo 时,常见组合是 systemd 后台运行核心 + 浏览器访问 YACD。启动核心后,在本地执行 SSH 端口转发:ssh -L 9090:127.0.0.1:9090 user@server,即可在本地浏览器打开面板并连接远程 API,全程无需将管理端口暴露到公网。
总结
外部控制与 Web Dashboard 将 Clash 从「黑盒客户端」变为可观测、可调试的系统。日常用户未必每天都开面板,但在排查规则、优化节点、远程管理服务器核心时,它是不可替代的工具。正确配置监听地址与密钥,是享受便利的同时守住安全底线的前提。
如需在本地体验完整客户端,请 前往官方下载页;初次配置可参考 官方教程 完成订阅导入与系统代理开启。
相关文章