📖 教學 ⏱ 約 17 分鐘閱讀

Fedora 工作站首次安裝 Clash Verge:SELinux 與 firewalld 放行分步操作(2026)

若你已在 Windows 11macOS 用過圖形介面的 Clash Verge(常見社群分支如 Clash Verge Rev),換到 Fedora Workstation 時,常會遇到一種挫折:安裝檔跑完了、訂閱匯入也顯示成功,卻連不上核心無法啟動,或開了區網分享後手機怎麼填代理都連不到。相較於本站既有的 Ubuntu 24.04 圖形客戶端教學,Fedora預設啟用SELinuxfirewalld,行為與 Debian 系很不一樣;這篇以Linux 桌面實務流程寫成,把「先判斷是不是被安全模組擋下來」與「防火牆該開哪個埠」拆成可照做的步驟,並保留與首次設定開機自啟相銜接的驗證順序。

為什麼 Fedora 上更容易遇到「裝了卻不能用」?

Fedora Workstation的定位向來偏「開發者友善、安全預設較嚴」。在桌面環境裡,這通常代表兩件事會同時存在:① SELinux會對檔案標籤、程序能否綁定特定埠、能否建立TUN裝置等行為做強制存取控制② firewalld則會依區域(zone)決定哪些入站連線被接受。相較之下,多數使用者在 Ubuntu桌面第一次裝 Clash Verge時,較少第一時間碰到這兩層同時介入(本站Ubuntu 24.04:訂閱匯入與 systemd 自啟也以套件路徑與登入後啟動為主軸)。因此,把症狀誤判成「節點全掛了」之前,很值得先用系統工具確認:是不是本機安全策略先把你擋下來

Clash Verge本質仍是圖形介面包裝,底層多半載入 Clash Meta/Mihomo 類核心;你需要先有可信的訂閱或設定來源,並理解代理群組規則怎麼命中流量。若你對群組與策略還不熟,建議先讀Clash 代理群組(proxy-groups)完全指南,再回到本機安全設定,會比較不會「規則其實沒問題,卻一直被 SELinux 擋在更早的階段」。

安裝前:可信來源、使用者身分與固定路徑

請務必只從可信來源安裝;代理類工具權限極高,來路不明的安裝檔風險很大。取得客戶端與更新時,建議優先遵循本站下載頁所整理的方式;若你要查開源授權、原始碼或 Issue,可另行前往專案頁,與「取得安裝檔」分開看待。

Fedora上,安裝型態可能是 RPMAppImageFlatpak,或上游提供的其他封裝;不同型態對檔案標籤、能否寫入設定目錄、以及是否在沙箱內執行,都會影響行為。實務上建議你把可執行檔放在固定且可預期的位置(例如使用者家目錄下的 ~/Applications 或發行版建議的應用程式目錄),避免每次從「下載資料夾」臨時執行;後續若你要用 systemd 使用者服務做登入後自啟,路徑穩定會省很多時間。

也請避免習慣性用 sudo 去開圖形客戶端:一旦設定與快取被寫進 root 的家目錄,你之後用一般使用者登入時會看到「另一套空白設定」,排查時非常容易迷路。

第一次啟動與訂閱匯入:先確認「程式真的在跑」

向服務商取得訂閱網址後,在 Clash Verge介面中新增訂閱、命名、儲存,然後執行更新,確認節點清單有出現,並選定使用中/啟用的設定檔(用語依版本而異)。訂閱連結會過期、輪替、與帳戶狀態綁定;若節點突然全滅,不一定是 FedoraSELinux的問題。延伸閱讀可參考訂閱連結那些事

若你從其他平台遷移,亦可參考從 Clash for Windows 遷移到 Clash Verge Rev,把「訂閱與覆寫習慣」先對齊,再回到本機安全模組排查。

SELinux:先用日誌說話,再談放行

當你懷疑 SELinux介入時,請不要先跳到「整機關掉 SELinux」這種最後手段;多數桌面情境可以先定位被拒絕的具體操作,再決定要調整檔案標籤、移動執行檔位置,或在極少數情況下才考慮自訂政策。

① 確認模式:在終端機執行 getenforce。若是 Enforcing,表示強制模式正在生效;若是 Permissive,仍會記錄拒絕事件但不會真的擋下來(適合短時間對照測試,不建議長期當解法)。

② 找 AVC 紀錄:可用 sudo ausearch -m avc -ts recent 或從稽核/日誌工具檢視最近的拒絕事件。若系統有安裝除錯建議相關套件,有時候也能用圖形化摘要看到「哪個程序想對哪個物件做什麼動作被拒絕」。

③ 常見與 Clash/核心相關的線索:包含但不限於:使用者家目錄下自解壓的執行檔標籤不符合預期、程序嘗試綁定特定埠被限制、或建立/操作 TUN裝置時被拒絕。若你啟用 TUN模式,概念上與Clash TUN 模式深度解析一致;但在 Fedora上,請把「系統允許建立虛擬介面」與「應用程式真的拿到對的權限」當成兩個獨立檢查點。

④ 檔案標籤與放置位置:若你把單一檔案執行檔放在非預期路徑,可能需要用系統建議的方式修正安全內容(label),或改放到更符合發行版預期的目錄(例如由套件管理員安裝到 /usr/bin 的路徑通常爭議較少)。實務上「先讓執行檔落在常見、可重現的位置」往往比到處下載後隨機執行更穩。

⑤ 謹慎使用強力手段:網路上偶爾會看到把某個目錄設成較寬鬆的標籤、或產生自訂模組;這類做法可能有效,但也可能擴大攻擊面。除非你清楚自己在放寬什麼,否則寧可先縮小變因(改安裝型態、改路徑、改為發行版套件),再評估是否真的需要自訂政策。

💡 小提示 若你只在改成 Permissive 或暫時降低限制後問題立刻消失,幾乎可以高度確信是 SELinux路徑;接下來請回到日誌把「被拒絕的動作」具體化,而不是永久關閉安全模組。

firewalld:先釐清「出站」與「入站」

多數人第一次用 Clash Verge時,主要需要的是本機連到網際網路(出站),這通常不會被預設的防火牆設定擋住。你會更需要關心 firewalld的情境,往往是下面這種:允許區網裝置連到你電腦上的代理埠(入站),或你在實驗對外監聽的服務埠。

本站另有一篇以 Windows 11為主的區網分享流程,核心概念可類比:服務要監聽在對的介面防火牆要放行對應埠。在 Fedora上你可以把同樣的檢查表換成 firewalld語彙來做:手機想用電腦上的 Clash?Windows 11 區網與防火牆放行(請把其中「控制台」換成你實際的 mixedHTTPSOCKS埠與 Fedora指令)。

建議操作順序(概念)

  1. Clash Verge確認實際監聽埠與是否允許區網(概念上接近 allow-lan;實際選項名稱依版本為準)。
  2. 確認 firewalld目前作用中的區域與介面(桌面的有線/無線通常會落在 public 或自訂區域)。
  3. firewall-cmd 針對需要的TCP/UDP 埠放行;若你希望重開機後仍在,請加上永久設定並重新載入。
  4. 用另一台裝置在同一區網測試連線;若仍失敗,先排除「IP 抄錯、服務只綁 127.0.0.1、路由器用戶隔離」等更常見原因。

請記得:把代理埠暴露到不可信的公共網路或錯誤的轉發設定,會帶來完全不同的風險;本文僅討論家用/辦公室區網情境下常見的入站放行需求。

與「登入後自啟」銜接:systemd 使用者服務

許多桌面環境提供「登入時啟動應用程式」的圖形設定,而 Clash Verge部分版本也有內建自啟選項。若你希望行為可版本控管、並能用 systemctl --user status直接看到失敗原因,systemd 使用者服務仍然是常用選項。更細的單元檔骨架與注意事項,建議直接參考本站 Ubuntu篇的同一套流程,再把路徑換成你在 Fedora上的安裝位置:Ubuntu 24.04:訂閱匯入與 systemd 開機自啟。請注意:圖形客戶端多半合理期待「使用者登入圖形工作階段後」才啟動;這與伺服器上無頭執行的想像不同。

驗證與排查:把「安全模組」與「代理規則」分開看

建議你用同一套順序排查,避免同時改三個變因:

  1. 程式是否真的能啟動:先看介面、日誌或系統監看,確認核心進程沒有被 SELinux或權限問題提早結束。
  2. 訂閱與節點是否可用:更新訂閱後做延遲或健康檢查;全紅時先回到帳戶狀態與上游公告。
  3. 模式是否與應用程式一致:瀏覽器與部分工具不吃桌面代理時,可能要改走 TUN或更細的規則;這與「防火牆擋出站」是不同問題。
  4. DNS 與 fake-ip:解析階段異常常表現為「某些網域永遠失敗」,請勿只換節點。
  5. 區網入站:若只有「別的裝置連不到你電腦的代理埠」,優先檢查 firewalld與監聽位址,而不是先改規則。

想從頭建立「安裝—訂閱—分流」的整體觀,也可搭配本站Clash 使用教學,把 Linux 桌面與其他平台的概念對齊。

安全與隱私:你該有什麼心理準備?

任何本機代理/隧道類工具,只要流量經過其核心,技術上就可能看見連線中繼資訊;請把客戶端來源上游服務商都納入信任邊界。避免使用來路不明的「破解版」或內建節點可疑的安裝包;穩健做法是客戶端只負責分流與介面,節點來自你自行評估的服務。

在公共 Wi‑Fi 若遇到 Captive portal,常要先暫停代理或允許直連登入;請遵守所在地與網路提供者的政策。本文僅說明技術設定與常見除錯,不提供規避法律或侵害他人權益的建議。

常見問題

我可以直接把 SELinux 關掉嗎?

不建議當成長期解法。Fedora許多安全假設建立在 SELinux 之上,關閉後表面問題可能消失,但你也失去重要的防護層。比較好的路徑是:先用日誌確認拒絕原因,再決定調整檔案位置、標籤或最小範圍的例外。

為什麼「本機瀏覽器正常」,但「區網手機」連不到代理埠?

常見原因是代理只監聽本機位址、客戶端未開放區網、firewalld未放行入站,或路由器啟用無線用戶隔離。請依「監聽位址 → 客戶端設定 → 防火牆 → 路由器」順序查。

TUN 開了之後仍異常,要先懷疑 SELinux 嗎?

要先區分:是「無法建立 TUN」還是「TUN 已建立但規則/DNS 不對」。兩者都可能發生;若日誌出現與裝置或權限相關的 AVC,才優先往 SELinux 與權限排查,否則回到規則與 DNS 對齊。

整體而言,在 Fedora Workstation上把 Clash Verge用好,關鍵常不在「再換一個節點」,而是把SELinuxfirewalld兩條防線納入你的首次設定檢查清單:先讓程式穩定啟動與訂閱匯入,再處理模式與規則,最後才處理區網與進階情境。相較於只靠直覺關閉安全模組,這種做法通常更省時間,也較能長期維護。若你正在找能承載規則型代理工作流程的客戶端,不妨從本站取得對應平台版本,實際感受分流與切換是否順手——相較於其他同類工具,Clash 在規則彈性與社群生態上往往更利於長期使用。→ 立即免費下載 Clash,開啟流暢上網新體驗