설치 및 설정
설치 · 구독 · 초기화운영체제에 따라 적절한 클라이언트를 선택하세요:
- Windows: 1순위 — Clash Verge Rev(현대적 UI, TUN 모드, 규칙 편집기 완전 지원). 테마 커스터마이징과 멀티 코어 전환을 원한다면 Clash Nyanpasu도 선택할 수 있습니다.
- macOS: 1순위 — Clash Verge Rev(Intel 및 Apple Silicon 모두 지원). 가벼운 네이티브 메뉴바 앱을 선호한다면 ClashX Meta를 선택할 수 있습니다.
- Android: 1순위 — ClashMeta for Android(TUN 전역 프록시, 구독 관리 완비). 크로스 플랫폼 통일 경험을 원한다면 FlClash(Material You 디자인)도 선택할 수 있습니다.
- iOS: 1순위 — Stash(Clash 설정 호환성 최고 수준, 규칙 세트·스크립트 지원). 그 외 Shadowrocket 또는 Spectre Proxy도 이용 가능합니다 — 모두 비중국 Apple ID가 필요합니다.
- Linux: 1순위 — Clash Verge Rev(GUI, .deb / .rpm / AUR 지원). 서버·라우터 환경에서는 Mihomo Core(CLI)를 직접 사용할 수 있습니다.
최신 버전 및 아키텍처 선택 안내는 다운로드 페이지에서 확인할 수 있습니다.
대부분의 Clash 클라이언트에서 구독을 가져오는 일반적인 절차는 다음과 같습니다:
- 서비스 제공업체로부터 받은 구독 URL을 복사합니다.
- 클라이언트에서 '설정(Config)', '구독(Subscription)' 또는 '프로필(Profiles)' 탭으로 이동합니다.
- 'URL에서 가져오기' 또는 '구독 추가'를 선택하고 링크를 붙여넣은 후 확인을 누릅니다.
- 클라이언트가 설정 파일을 다운로드하고 분석할 때까지 기다립니다. 완료되면 해당 프로필을 선택하여 활성화합니다.
💡 최신 노드 목록을 자동으로 불러오기 위해 '자동 업데이트'(예: 24시간마다) 기능을 켜두는 것을 권장합니다.
네, 정상입니다. Clash의 TUN 모드(투명 프록시)는 시스템 계층에서 네트워크 트래픽을 가로채야 하므로 다음과 같은 권한을 요청합니다:
- Windows: 가상 네트워크 카드 드라이버(WinTUN) 설치를 위한 관리자 권한이 필요합니다.
- macOS: 시스템 확장 프로그램 또는 VPN 프로필 권한이 필요합니다.
- Android / iOS: 로컬 VPN 연결 생성을 위한 권한이 필요합니다. 트래픽은 기기를 벗어나지 않으며 제3자 서버와 관련이 없습니다.
브라우저와 같은 특정 앱만 프록시를 적용하려면 VPN 권한이 필요 없는 시스템 프록시 모드를 사용하면 됩니다.
다음과 같은 방법으로 확인할 수 있습니다:
- 브라우저에서
ip.sb또는ipinfo.io에 접속하세요. 표시되는 IP 주소가 변경되었다면 프록시가 적용된 것입니다. - 클라이언트의 '연결(Connections)' 패널에서 실시간 트래픽 데이터가 있는지 관찰하세요.
- 클라이언트 내장 '지연 시간 테스트(Latency Test)' 기능을 사용하여 노드와의 연결 상태를 점검하세요.
💡 IP가 변경되지 않았다면 클라이언트에서 올바른 프로필을 선택했는지, 프록시 모드가 활성화되었는지(Direct 모드가 아닌지) 확인하세요.
YAML 형식은 들여쓰기에 매우 민감합니다. 흔한 오류는 다음과 같습니다:
- 탭(Tab) 사용(YAML은 공백 들여쓰기만 허용합니다).
- 콜론(:) 뒤에 공백 누락(예:
key:value가 아닌key: value로 작성해야 합니다). - 특수 문자가 포함된 문자열에 따옴표 누락.
- 목록 항목
-뒤에 공백 누락.
온라인 YAML 검증 도구(예: yaml.online-parser.appspot.com)에 내용을 붙여넣어 형식을 확인하거나 클라이언트 내장 설정 검사 기능을 사용하세요.
다음은 기본 프록시와 규칙을 포함한 실행 가능한 최소 설정 예시입니다:
mixed-port: 7890
allow-lan: false
mode: rule
log-level: info
external-controller: 127.0.0.1:9090
dns:
enable: true
enhanced-mode: fake-ip
nameserver:
- 119.29.29.29
- 8.8.8.8
proxies:
- name: "내 노드"
type: vmess
server: example.com
port: 443
uuid: your-uuid-here
alterId: 0
cipher: auto
tls: true
proxy-groups:
- name: Proxy
type: select
proxies:
- 내 노드
- DIRECT
rules:
- GEOIP,CN,DIRECT
- MATCH,Proxy위 내용을 config.yaml로 저장하고 노드 정보를 수정한 후 클라이언트에 가져오면 됩니다.
연결 문제
지연 시간 · 연결 끊김 · 속도속도 저하는 대개 다음과 같은 원인으로 발생하며 하나씩 점검해 볼 수 있습니다:
- 노드 부하 높음: 지연 시간 테스트를 통해 더 낮고 빠른 노드로 변경하세요.
- 프록시 모드 선택: '전역(Global)' 모드에서는 국내 트래픽도 프록시를 거칩니다. 국내 사이트는 '규칙(Rule)' 모드를 사용하여 스마트하게 분기하는 것을 권장합니다.
- DNS 해석 느림: 설정의 DNS 설정을 확인하세요. 원격 DNS로
8.8.8.8또는1.1.1.1을 사용하는 것을 추천합니다. - TUN 모드 오버헤드: TUN 모드는 모든 시스템 트래픽을 처리하므로 CPU 사용량이 약간 높아질 수 있으며 사양이 낮은 기기에서는 영향을 체감할 수 있습니다.
자주 끊기는 원인과 해결 방법:
- 노드 불안정: 자동 장애 조치(fallback) 정책 그룹을 켜면 주 노드 장애 시 자동으로 보조 노드로 전환됩니다.
- Keep-alive 설정: 설정에서
keep-alive-interval을 활성화하여 연결을 유지하세요. - 시스템 절전: 기기가 절전 모드에 들어가면 네트워크 연결이 중단됩니다. 깨어난 후 수동으로 재연결하거나 클라이언트를 재시작하세요.
- 방화벽 또는 보안 소프트웨어: 방화벽이 클라이언트 프로세스를 차단하지 않는지 확인하고 화이트리스트에 추가하세요.
일부 앱은 시스템 프록시 설정을 따르지 않으므로 TUN 모드를 통해 전역 트래픽을 제어해야 합니다:
- 클라이언트에서 TUN 모드를 활성화하세요(관리자/Root 권한 필요). 이는 시스템 계층에서 모든 TCP/UDP 트래픽을 가로챕니다.
- 게임의 경우 규칙에서 게임 서버 IP 대역에 대해 별도의 라우팅 정책을 설정할 수 있습니다.
- Android 기기에서는 '로컬 네트워크 바이패스' 옵션을 켜서 내부 통신에 영향을 주지 않도록 하세요.
Clash는 다양한 노드 선택 전략을 제공합니다:
- 수동 선택: '프록시' 패널에서 모든 노드에 대해 지연 시간 테스트를 수행하고 수동으로 가장 낮은 노드를 선택합니다.
- 자동 선택(url-test):
url-test정책 그룹을 설정하면 Clash가 주기적으로 속도를 측정하여 가장 빠른 노드를 자동으로 선택합니다. - 부하 분산(load-balance): 여러 노드를 순환하며 사용합니다. 다운로드와 같이 동시에 많은 연결이 필요한 상황에 적합합니다.
- 장애 조치(fallback): 주 노드를 사용할 수 없을 때 자동으로 예비 노드로 전환하여 연결 안정성을 보장합니다.
Clash는 로컬 네트워크 프록시 공유를 지원하여 휴대폰, 태블릿 등이 컴퓨터를 통해 인터넷을 사용할 수 있게 합니다:
- 설정 파일에서
allow-lan: true로 설정하고bind-address를"*"또는 내부 IP로 지정합니다. - 컴퓨터의 내부 IP 주소(예:
192.168.1.100)와 HTTP 프록시 포트(기본7890)를 기록합니다. - 다른 기기의 Wi-Fi 설정에서 HTTP 프록시를 해당 IP와 포트로 지정합니다.
💡 모바일 기기에서는 '설정 → Wi-Fi → 프록시 → 수동'으로 설정할 수 있습니다. Android와 iOS 모두 지원하며 루팅이나 탈옥이 필요 없습니다.
프록시 규칙이 내부 IP까지 프록시 서버로 라우팅하기 때문입니다. 해결 방법:
- 설정 파일 상단에 다음 규칙이 포함되어 있는지 확인하세요:
- IP-CIDR,192.168.0.0/16,DIRECT - IP-CIDR,10.0.0.0/8,DIRECT - IP-CIDR,172.16.0.0/12,DIRECT
- 클라이언트 설정에서 '내부 네트워크 바이패스' 옵션을 활성화하세요(대부분의 클라이언트에서 원클릭으로 지원합니다).
규칙 관리
분기 · DNS · 규칙 세트- 전역 모드(Global): 모든 트래픽을 프록시 서버로 강제 전송합니다. 디버깅에 적합하며 일상적인 사용에는 권장하지 않습니다.
- 규칙 모드(Rule): 설정 파일에 정의된 규칙에 따라 프록시, 직결 또는 거부 여부를 결정합니다. 일상적인 사용에 권장되는 모드이며 스마트한 트래픽 분산이 가능합니다.
- 직결 모드(Direct): 모든 트래픽을 프록시 없이 직접 연결합니다. 프록시를 끄는 것과 같습니다.
설정 파일의 rules 섹션에 해당 규칙을 추가하고 DIRECT 정책을 지정하세요:
rules: - DOMAIN-SUFFIX,baidu.com,DIRECT - DOMAIN-SUFFIX,qq.com,DIRECT - DOMAIN-KEYWORD,taobao,DIRECT - IP-CIDR,114.114.114.0/24,DIRECT - MATCH,Proxy # 기본 프록시
규칙은 위에서 아래 순서로 일치 여부를 확인하며 첫 번째로 일치하는 규칙이 적용됩니다. 복잡한 분기가 필요한 경우 '규칙 제공자(Rule Provider)' 기능을 권장합니다.
규칙 제공자는 커뮤니티에서 관리하고 URL을 통해 업데이트되는 외부 규칙 리스트 파일(YAML 또는 텍스트)입니다. 사용법:
rule-providers:
gfw:
type: http
behavior: domain
url: "https://example.com/gfw.yaml"
interval: 86400
path: ./ruleset/gfw.yaml
rules:
- RULE-SET,gfw,Proxy
- MATCH,DIRECTLoyalsoldier/clash-rules(GitHub)와 같이 커뮤니티에서 유지 관리하는 전체 규칙 세트를 추천하며 여기에는 국내 직결, 광고 필터링, 악성 사이트 차단 등이 포함됩니다.
Clash 내장 DNS 모듈 권장 설정:
dns:
enable: true
ipv6: false
default-nameserver:
- 119.29.29.29
nameserver:
- https://8.8.8.8/dns-query
- https://1.1.1.1/dns-query
enhanced-mode: fake-ipDNS 유출은 프록시 트래픽은 프록시를 통과하지만 DNS 쿼리가 프록시를 우회하여 로컬 DNS로 전송되어 실제 위치가 노출되는 현상을 말합니다. fake-ip 모드를 사용하면 DNS 유출을 효과적으로 방지할 수 있습니다.
Clash는 규칙 세트를 통해 광고 도메인에 REJECT 정책을 설정하여 추가 플러그인 없이 광고 필터링이 가능합니다:
rule-providers:
reject:
type: http
behavior: domain
url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/reject.txt"
interval: 86400
path: ./ruleset/reject.yaml
rules:
- RULE-SET,reject,REJECT
- MATCH,DIRECT광고, 추적 및 악성 도메인을 차단하기 위해 Loyalsoldier/clash-rules의 reject.txt 규칙 세트를 추천합니다.
Mihomo는 JavaScript 스크립트(script 모드)를 통한 동적 분기를 지원하여 복잡한 시나리오에 적합합니다:
mode: script
script:
code: |
def main(ctx, metadata):
if metadata["host"].endswith(".cn"):
return "DIRECT"
if metadata["dst_port"] == "22":
return "DIRECT"
return "Proxy"스크립트는 metadata(host, src_ip, dst_port 등)와 ctx(DNS 쿼리, 규칙 매칭 API 등)에 접근할 수 있습니다. 스크립트 모드는 규칙 모드와 배타적이며 고급 사용자에게 권장됩니다.
| 비교 항목 | fake-ip | redir-host |
|---|---|---|
| 작동 원리 | 가상 IP 반환, 실제 매칭은 연결 시점까지 지연 | 실제 IP를 먼저 해석한 후 IP 규칙으로 매칭 |
| DNS 유출 위험 | 매우 낮음, 권장 | 높음, nameserver-policy 필요 |
| 호환성 | 일부 IP 기반 프로그램에서 문제 발생 가능 | 호환성 좋음 |
| 지연 시간 | 더 낮음(DNS 왕복 1회 절약) | 약간 더 높음 |
| 권장 시나리오 | 일상적인 사용 | 실제 IP가 필요한 특수 앱 |
대부분의 사용자는 fake-ip 모드를 권장하며 fake-ip-filter를 통해 호환되지 않는 도메인을 제외할 수 있습니다.
보안 및 개인정보 보호
오픈 소스 · 데이터 · 권한Clash 핵심(Mihomo)은 100% 오픈 소스 로컬 프록시 도구입니다. 자체적으로 사용자 데이터를 수집하거나 업로드하지 않으며 라우팅과 암호화는 모두 기기 로컬에서 수행됩니다.
주의할 점:
- 트래픽은 최종적으로 노드 서비스 제공업체를 거치게 되며 기술적으로 메타데이터(대상, 시간, 트래픽 양)를 기록할 수 있습니다.
- 종단간 보안을 위해 암호화 전송 프로토콜(VLESS + XTLS, Trojan 등) 사용을 권장합니다.
- 로컬 로그 기능은 설정에서 조정하거나 끌 수 있습니다.
설정 파일에는 연결 자격 증명이 포함되어 있으므로 안전하게 관리해야 합니다:
- 노드 정보가 포함된 설정 파일을 공개 리포지토리에 올리거나 타인과 공유하지 마세요.
- 파일 시스템 수준에서 적절한 권한을 설정하세요(Unix 시스템은
chmod 600 config.yaml권장). - 외부 컨트롤러(
external-controller)가 공인 IP에 노출되는 경우 반드시 강한 비밀번호(secret필드)를 설정하세요. - 기기 분실 시 비밀번호를 즉시 변경하세요.
다음 방법을 통해 안전을 확인하세요:
- 공식 채널만 이용: 본 사이트나 공식 GitHub 리포지토리를 통해 설치 파일을 다운로드하세요.
- 파일 해시 확인: 공식 릴리스 페이지의 SHA256 체크섬과 다운로드한 파일을 비교하세요.
- 코드 서명 확인: macOS 및 Windows 버전은 일반적으로 개발자 서명이 포함되어 있으며 설치 시 시스템에서 검증합니다.
- 소스 코드 검토: 모든 핵심 구성 요소는 GitHub에서 오픈 소스로 공개되어 있습니다.
WebRTC는 브라우저 내장 기술로 프록시를 우회하여 실제 IP를 노출할 수 있습니다. 방지 방법:
- TUN 모드 활성화: 시스템 계층에서 모든 트래픽을 제어하는 가장 확실한 방법입니다.
- 브라우저 확장 프로그램: uBlock Origin 등에서 'WebRTC IP 유출 방지' 옵션을 켜거나 전용 확장 프로그램을 사용하세요.
- 브라우저 설정: Firefox 등에서 WebRTC 기능을 완전히 끌 수 있습니다.
- 검증: browserleaks.com/webrtc에서 유출 여부를 테스트하세요.
외부 컨트롤러(RESTful API)는 기본적으로 127.0.0.1:9090에서 대기하며 로컬에서만 접근 가능하여 안전합니다. 원격 관리가 필요한 경우:
- 반드시 강한 비밀번호를 설정하세요:
secret: "your-strong-password". 비밀번호가 없으면 누구나 Clash를 제어할 수 있습니다. - 포트를 직접 노출하기보다 SSH 터널이나 VPN을 통해 접근하는 것을 권장합니다.
- API는 설정 변경, 노드 전환 등 모든 제어 권한을 가지므로 보안 수준은 SSH 접근과 동일하게 취급해야 합니다.
클라이언트 선택
GUI · 핵심 · 플랫폼 차이| 비교 항목 | Clash Verge Rev | ClashX Meta |
|---|---|---|
| 지원 플랫폼 | Windows / macOS / Linux | macOS 전용 |
| 기술 스택 | Tauri (Rust + WebView) | 네이티브 Swift/ObjC |
| UI 스타일 | 현대적인 웹 스타일 | macOS 네이티브 메뉴바 스타일 |
| 규칙 편집기 | 내장 시각적 편집기 | 없음 — 설정 파일 직접 편집 필요 |
| 리소스 사용 | 약간 높음 (WebView 렌더링) | 더 가볍고 높은 시스템 통합도 |
| 대상 사용자 | 다중 플랫폼 사용자 / macOS 1순위 | 가벼운 메뉴바 앱을 선호하는 macOS 사용자 |
둘 다 내부적으로는 Mihomo 핵심을 사용하므로 프록시 기능은 동일합니다. macOS에서는 Clash Verge Rev가 1순위 추천이며, 메뉴바 상주를 선호한다면 ClashX Meta를 선택할 수 있습니다.
💡 동일하게 Tauri 기반인 Clash Nyanpasu는 멀티 코어 전환과 테마 커스터마이징을 지원하여 Windows / macOS / Linux에서 개성적인 경험을 원하는 사용자에게 훌륭한 선택입니다.
Apple App Store 정책으로 인해 'Clash'라는 이름의 앱들이 중국 지역 App Store에서 삭제되었습니다. iOS 사용자는 Clash 설정 형식과 호환되는 다음 클라이언트를 이용할 수 있습니다:
- Stash(1순위): 유료 앱. Clash 설정 전용으로 설계되어 규칙 세트, 스크립트, MitM 복호화를 완전히 지원하며 iPhone과 iPad 모두 지원합니다.
- Shadowrocket: 유료 앱. 다양한 프록시 프로토콜과 Clash 구독 형식을 지원하며 사용자 기반이 넓고 안정성이 높습니다.
- Spectre Proxy: 무료 / 인앱 결제. Clash 설정 형식에 특화된 깔끔한 UI로 입문자에게 친화적이며 더 많은 지역의 App Store에서 이용 가능합니다.
💡 Stash와 Shadowrocket은 미국 또는 홍콩 Apple ID가 필요합니다. Spectre Proxy는 더 많은 지역에서 이용 가능합니다. App Store 우측 상단 아이콘에서 계정 전환만 하면 되며 기본 계정을 변경할 필요는 없습니다.
Mihomo는 Clash Meta의 핵심 엔진(Go 언어 작성)이며 모든 GUI 클라이언트는 내부적으로 Mihomo를 사용합니다:
- Mihomo 핵심: 순수 명령줄 도구로 YAML 설정 파일을 읽어 실행하며 RESTful API를 제공합니다. 서버, 라우터 또는 고급 사용자에게 적합합니다.
- GUI 클라이언트: Mihomo 핵심을 그래픽으로 감싼 도구로, API를 통해 핵심과 통신하며 시각적 설정, 노드 관리, 지연 시간 테스트 등의 편의 기능을 제공합니다.
일반 사용자는 GUI 클라이언트를, 서버나 임베디드 사용자는 Mihomo 핵심을 직접 사용하는 것을 권장합니다.
일반적으로 클라이언트 업데이트는 설정 파일에 영향을 주지 않습니다. 데이터는 별도의 사용자 디렉토리에 저장되기 때문입니다. 하지만 다음 습관을 권장합니다:
- 설정 파일을 클라우드 저장소 등에 정기적으로 백업하세요.
- 구독 URL을 통해 노드를 관리하면 손쉽게 복구할 수 있습니다.
- 업데이트 전 릴리스 노트를 확인하여 Breaking Changes가 있는지 체크하세요.
구독 및 업데이트
구독 · 자동 업데이트 · 버전대부분의 클라이언트에서 수동 업데이트 방법은 다음과 같습니다:
- Clash Verge Rev / Clash Nyanpasu(Windows / macOS / Linux): '구성' 페이지에서 해당 카드 우측의 '새로고침' 아이콘을 클릭합니다.
- ClashX Meta(macOS): 메뉴 막대 아이콘 → 구성 → 해당 구성 선택 → 구성 파일 업데이트를 클릭합니다.
- ClashMeta for Android / FlClash(Android): '구성 파일' 목록에서 길게 누르거나 새로고침 버튼을 누릅니다.
업데이트는 URL에서 최신 YAML 파일을 다시 불러와 노드 목록을 갱신하는 과정입니다.
클라이언트의 '구독' 설정에서 각 구독별로 자동 업데이트 간격을 설정할 수 있습니다:
- 권장 간격: 12~24시간 정도면 노드 목록을 신선하게 유지하면서 과도한 요청을 피할 수 있습니다.
- 간격이 너무 짧으면(예: 1시간) 서비스 제공측에서 비정상적인 요청으로 간주하여 링크를 차단할 수 있습니다.
- 간격이 너무 길면(7일 이상) 만료된 노드를 계속 사용할 위험이 있습니다.
업데이트 실패의 흔한 원인과 대처법:
- 현재 노드가 구독 서버에 접속 불가: 직결 모드로 전환 후 업데이트하거나 다른 사용 가능한 노드를 사용하세요.
- 구독 만료: 서비스 제공업체에 연락하여 유효한 링크를 다시 받으세요.
- 서버 일시적 장애: 잠시 후 다시 시도하세요.
- URL 형식 오류: 링크가
https://를 포함하여 완전한지 확인하세요.
플랫폼별 업그레이드 방법:
- Clash Verge Rev(Windows / macOS / Linux): 설정 → 정보에서 '업데이트 확인'을 누르거나 GitHub Releases 페이지에서 최신 파일을 받으세요.
- Clash Nyanpasu(Windows / macOS / Linux): 설정 → 정보에서 '업데이트 확인'을 누르거나 GitHub Releases에서 최신 버전을 받아 덮어쓰기 설치하세요.
- ClashX Meta(macOS): GitHub에서 최신
.dmg파일을 받아 덮어쓰기 설치하세요. - ClashMeta for Android(Android): GitHub에서 최신
.apk파일을 받아 설치하세요(알 수 없는 출처 허용 필요). - FlClash(Android / Windows / macOS): GitHub Releases에서 해당 플랫폼의 최신 버전을 받아 설치하세요.
- Mihomo 핵심: GitHub에서 바이너리 파일을 받아 교체하세요.
💡 보안 패치와 신규 프로토콜 지원을 위해 클라이언트를 최신 버전으로 유지하는 것이 좋습니다.
Mihomo 핵심(Clash Meta)은 업계의 주요 프로토콜을 대부분 지원합니다:
전송 계층 지원: WebSocket, HTTP/2, gRPC, QUIC 등을 위 프로토콜과 조합하여 사용 가능합니다.