NAT 下代理最佳实践：HTTP(S)_PROXY/NO_PROXY

目标：在 NAT 模式下，把代理配置成可控、可回滚、不污染系统的状态。
核心策略：优先"按场景临时生效"，再考虑"系统级永久生效"。

1) 先搞清楚三类代理场景

1.1 临时代理（推荐：最安全）

只对当前终端/当前命令生效，不会影响系统其他程序。

1.2 用户级代理（较常用）

写进 ~/.bashrc / ~/.zshrc，对该用户所有终端生效。

1.3 系统级代理（最强也最容易踩坑）

影响 apt、GUI、服务进程，配置错了会导致"全系统都上不了网"。

新手优先用临时代理，避免一把梭把系统搞崩。

2) 代理环境变量：你需要记住的 6 个名字

HTTP_PROXY
HTTPS_PROXY
NO_PROXY
http_proxy
https_proxy
no_proxy

经验建议：

同时设置大写 + 小写（兼容更多程序）
NO_PROXY 一定要配好（否则本地/内网访问会被代理绕远甚至失败）

3) 临时代理（推荐）：只对当前命令生效

3.1 只让这一次 curl 走代理

bash 复制代码

HTTPS_PROXY="http://127.0.0.1:7890" curl -I https://www.google.com

3.2 让这一次 apt update 走代理（常见）

bash 复制代码

sudo HTTPS_PROXY="http://127.0.0.1:7890" HTTP_PROXY="http://127.0.0.1:7890" apt update

这里 127.0.0.1:7890 只是示例：你的代理地址要以实际为准。

4) 会话级代理：对当前终端窗口生效（关闭窗口即失效）

bash 复制代码

export HTTP_PROXY="http://127.0.0.1:7890"
export HTTPS_PROXY="http://127.0.0.1:7890"
export http_proxy="$HTTP_PROXY"
export https_proxy="$HTTPS_PROXY"

# NO_PROXY：本地/内网不走代理（非常重要）
export NO_PROXY="localhost,127.0.0.1,::1,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16"
export no_proxy="$NO_PROXY"

验证：

bash 复制代码

env | egrep -i 'proxy|http_proxy|https_proxy|no_proxy'

5) 用户级永久生效（可回滚）：写到 shell 配置里

例如写到 ~/.bashrc 或 ~/.zshrc：

bash 复制代码

# Proxy (optional)
export HTTP_PROXY="http://127.0.0.1:7890"
export HTTPS_PROXY="http://127.0.0.1:7890"
export http_proxy="$HTTP_PROXY"
export https_proxy="$HTTPS_PROXY"
export NO_PROXY="localhost,127.0.0.1,::1,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16"
export no_proxy="$NO_PROXY"

让配置生效：

bash 复制代码

source ~/.bashrc
# 或
source ~/.zshrc

回滚（注释掉那几行即可）：

在 rc 文件里删掉/注释 proxy 段
新开终端或 source 一次

6) apt 专用代理（更稳）：只影响 apt，不影响全系统

新建配置文件：

bash 复制代码

sudo tee /etc/apt/apt.conf.d/99proxy <<'EOF'
Acquire::http::Proxy "http://127.0.0.1:7890";
Acquire::https::Proxy "http://127.0.0.1:7890";
EOF

验证：

bash 复制代码

sudo apt update

取消（删除文件即可）：

bash 复制代码

sudo rm -f /etc/apt/apt.conf.d/99proxy

7) NO_PROXY 怎么写更合理（通用模板）

推荐保留：

localhost,127.0.0.1,::1
内网网段：10.0.0.0/8,172.16.0.0/12,192.168.0.0/16

如果你有 Host-only 网段（例如 192.168.56.0/24），也加进去。

8) 代理排障：3 个最小验证命令

bash 复制代码

# 1) 解析是否正常
dig +short google.com

# 2) HTTPS 是否通（看状态码/握手）
curl -I https://www.google.com

# 3) apt 是否通（看是否超时/证书问题）
sudo apt update