写了 2 个 dns 配置,大家帮评审一下没 dns 泄露了吧?

128 天前
 vx007

我对不泄露的定义是被樯域名不走境内 dns 服务商, 以下 2 个 dns 配置下面的 rules ,没泄露了吧

dns:

enable: true

enhanced-mode: fake-ip #redir-host

fake-ip-range: 198.18.0.1/16

fake-ip-filter:
    - "*"
    - "+.lan"
    - "+.local"

nameserver:
    - "https://1.0.0.1/dns-query#proxy"
    - "https://8.8.8.8/dns-query#proxy"

nameserver-policy:
    "geosite:cn":
        - '223.5.5.5'
        - '119.29.29.29'

或者

dns:

enable: true

enhanced-mode: fake-ip #redir-host

fake-ip-range: 198.18.0.1/16

fake-ip-filter:
    - "*"
    - "+.lan"
    - "+.local"

nameserver:
    - '223.5.5.5'
    - '119.29.29.29'

fallback:
  - 'https://1.0.0.1/dns-query'
  - 'https://8.8.8.8/dns-query'

nameserver-policy:
    "geosite:!cn":
        - "https://1.0.0.1/dns-query#proxy"
        - "https://8.8.8.8/dns-query#proxy"

rules:

- ...

- 'GEOIP,CN,DIRECT'

- 'MATCH,机场'
2557 次点击
所在节点    宽带症候群
24 条回复
ranaanna
128 天前
首先,泄不泄漏不知道,但是 alidns 和 dnspod 都是有 DoH 的,可以和 cloudflare 和 google 一样用 DoH

其次,这么在意 dns 安全的话,可以用 cloudflare, apple 和 fastly 提出的 ODoH ,增加一层代理,全程加密,连 dns 服务器都不知道是你
redcats
128 天前
DoH 是不是会大大增加延迟?我在 ikuai 上配了 8.8.8.8 的 DoH ,延迟大到离谱
htfcuddles
128 天前
geosite 不全,这样配访问国内 CDN 服务大概率解析到国外。
morytyann
128 天前
@htfcuddles 是的,昨天我看到/t/1053566 的时候就测了,正好是楼主第一种方法,确实会出现这样的问题
vx007
128 天前
境内网站加不加密我不介意,只想境外被牆域名走境外 DOH 即可
vx007
128 天前
@redcats 只要 TCP 和 UDP 不绕路,境外 DOH 解析增加一点点开销可以接受
vx007
128 天前
@htfcuddles 特意下载 geosite 文件查看过,最常用的前 1 万个网站基本包含了,除了小论坛,小盗版资源网站,公司主页等,访问基本没受影响
vx007
128 天前
@morytyann 上面第 1 和第 2 种 dns 效果完全一致,部分小众网站可能被发境外去解析
frankilla
128 天前
MYDB
128 天前
@frankilla 看到 meta 内核立马关闭网页了不想看了
om2mo
128 天前
不用看 想要完美解决 dns 泄漏不可能 除非你国内域名全部用国外 dns 解析 即使你用了 chinalist 也不可能包含所有中国域名
mm2x
128 天前
@redcats 爱快也不支持设置 DoH 啊。我现在就是爱快 Chrome 配置了 DoH 。感觉一切正常。你得先看看你 dns.google 解析正常不
redcats
128 天前
SenLief
128 天前
其实只要你的梯子足够快,你可以全部都是 proxy
daisyfloor
127 天前
只有 2 种情况是要进行本地 DNS 解析:
1. 命中了一条 IP 规则,那么要解析域名判断是否命中规则
2. 确定要走直连,最终进行域名解析得到 IP 建立连接

事实上实践中应该尽量避免减少本地 DNS 解析,这不仅可以加快网路的访问速度和效率,而且可以避免泄露,尤其是其中 1 的情况,所以正确的做法是在所有 IP 规则最后都应该加上 no-resolve ,包括 GEOIP,CN,DIRECT 这一条,即: - GEOIP,CN,DIRECT,no-resolve

这种情况下,需要去远端的就去远端进行 DNS 解析了,也就不存在泄露,不需要去远端的(直连)反正你也不在乎泄露不泄露,用阿里云解析得到 ip 后直连即可。
dford
127 天前
@daisyfloor
- GEOIP,CN,DIRECT,no-resolve 这个规则逻辑很神奇啊,都有 IP 了还解析啥?
frankilla
127 天前
@MYDB #10 不懂,反正我现在用着没啥毛病。
daisyfloor
127 天前
这是一条 ip 规则,比如你要访问的一个请求是 https://www.xxx.org/xxxx 如果没有 no-resolve ,那么在没有命中上面的其他规则的的情况下走到这里,就会触发一次本地的 DNS 解析,这里就会泄露。
daisyfloor
127 天前
@dford 看我前一条 replay 。
vx007
127 天前
@daisyfloor 我上面的 dns 配置,本地都拿到境外 ip 了,geoip 规则不加 no-resolve 也不会发生 dns 查询,所以不会泄漏

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1054768

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX