代理规则中的 dns 不设置，也不会导致 dns 泄露！

@vx007 更正：我的意思是如果域名没有匹配直连规则，则会将域名加密发给代理服务器远程解析，这样不会出现 dns 泄露。我完全删除了 dns 模块，配置文件不对 dns 做任何设置，除了国内域名白名单走直连，其他所有域名都会被以加密数据的形式发给代理服务器远程解析，就算采用 quick 协议也不会在本地解析

@jackOff 自己内网做一个就行。

@jinqzzz 更正：我的意思是如果域名没有匹配直连规则，则会将域名加密发给代理服务器远程解析，这样不会出现 dns 泄露。我完全删除了 dns 模块，配置文件不对 dns 做任何设置，除了国内域名白名单走直连，其他所有域名都会被以加密数据的形式发给代理服务器远程解析，就算采用 quick 协议也不会在本地解析

@jinqzzz 多打了一个不字，更正：我的意思是如果域名没有匹配直连规则，则会将域名加密发给代理服务器远程解析，这样不会出现 dns 泄露。我完全删除了 dns 模块，配置文件不对 dns 做任何设置，除了国内域名白名单走直连，其他所有域名都会被以加密数据的形式发给代理服务器远程解析，就算采用 quick 协议也不会在本地解析

@vx007 是不是回错人了

@jinqzzz 用网上 clash 能用的国内常用域名列表啊

@vx007 你没解决问题，如何让 geoip,cn,direct 生效？
你用网上的域名列表，那列表里没有的怎么办呢？实际上别人也是慢慢收集的国内域名，并不是很全，我已经贡献了六七千个没有在 geosite,cn 里边的

你提出的删除 dns 模块，那么怎么按照域名分流不同规则呢？这件事的正确做法是内网做一个 dns 服务器，dns 模块的上游 dns 都设置成这个 dns(不管国内国外)，然后，在这个内网 dns 上下功夫，解决分流解析的问题。国内的直接就 foeward isp 的 dns ，一般都在猫上，国外直接 doh 。或者就建成一个缓存 dns ，从根域开始解析，至于 udp 怎么出去，都会吧？

udp53 不加密就有可能泄露，不管代理还是直连。没代理的话用 doh(dns over https)可以解决一些。代理软件可以用 fakeip （ clash ），fakedns(xray)等缓解。

@jinqzzz 只需要最常用的几百的国内网站直连就可以满足 99%的场景了，不匹配直连规则而被迫走代理的国内小众网站可以安装 swithysmega 之类的扩展来放行，不麻烦

@adrianzhang 只需要最常用的几百的国内网站直连就可以满足 99%的场景了，不匹配直连规则而被迫走代理的国内小众网站可以安装 swithysmega 之类的扩展来放行，不麻烦

@vx007 所以你的答案是 不知道 吗？

dns 分流并不是为了不泄露，而是为了更好的体验，分流越精确，体验越好，当然不泄露也是很好的。

简单来说，楼主这种模式就是"绕过大陆"路由模式，也就是所谓的白名单机制。
本来就是这么简单即可杜绝 Dns 泄露了。

@jinqzzz 既然白名单解决了 99%的场景，swithysmega 解决了剩下的 1%绕路的问题，geoip,cn,direct 这条规则就多余甚至碍事

@v2guy 对啊，返璞归真，最简单的反而是最安全的

@vx007 switchyomega

@vx007 我要是没理解错的话，我记得 clash DNS 解析那部分的模块是给 TUN 模式用的，不开 TUN 模式本身就没有启用 clash 内核作 DNS 解析，不知道你说的 DNS 泄漏指的是什么情况下的泄漏，如果是开透明代理/系统代理，那 socks5 是会代理 UDP 请求的，UDP 流量肯定是从 clash 发出去的呀，clash premium 内核处理 UDP 数据会发起一次 DNS 请求（具体来源忘了在哪看到的），而且 clash 应该不能把 DNS 请求交给远程服务器解析吧？（没有这个功能），好久没有关注 clash 内核的更新了 lol

@vx007 记错啦，刚看了一下确实 dns 模块可以删除，dns 请求直接被节点加密发到远程去解析了，理论上说抓包看不到明文国外 dns 请求，应该就算没泄漏？

我认为这个问题首先要讨论的应该是 DNS 泄漏的焦虑是怎么流行起来的，能避免自然是好事，有部分泄漏也不见得有多大问题，信不过运营商可以用公共 DNS ；而且代理中 DNS 的作用本来就是为了更准确的分流，要更好的体验自然需要更精确的 DNS 配置，要是担心 DNS 隐私问题那更简单了，自建前置 DNS 一举两得。