写了 2 个 dns 配置，大家帮评审一下没 dns 泄露了吧？

141 天前

vx007

我对不泄露的定义是被樯域名不走境内 dns 服务商，以下 2 个 dns 配置下面的 rules ，没泄露了吧

dns:

enable: true

enhanced-mode: fake-ip #redir-host

fake-ip-range: 198.18.0.1/16

fake-ip-filter:
    - "*"
    - "+.lan"
    - "+.local"

nameserver:
    - "https://1.0.0.1/dns-query#proxy"
    - "https://8.8.8.8/dns-query#proxy"

nameserver-policy:
    "geosite:cn":
        - '223.5.5.5'
        - '119.29.29.29'

或者

dns:

enable: true

enhanced-mode: fake-ip #redir-host

fake-ip-range: 198.18.0.1/16

fake-ip-filter:
    - "*"
    - "+.lan"
    - "+.local"

nameserver:
    - '223.5.5.5'
    - '119.29.29.29'

fallback:
  - 'https://1.0.0.1/dns-query'
  - 'https://8.8.8.8/dns-query'

nameserver-policy:
    "geosite:!cn":
        - "https://1.0.0.1/dns-query#proxy"
        - "https://8.8.8.8/dns-query#proxy"

rules:

- ...

- 'GEOIP,CN,DIRECT'

- 'MATCH,机场'

2593 次点击

所在节点

宽带症候群

24 条回复

ranaanna

141 天前

首先，泄不泄漏不知道，但是 alidns 和 dnspod 都是有 DoH 的，可以和 cloudflare 和 google 一样用 DoH

其次，这么在意 dns 安全的话，可以用 cloudflare, apple 和 fastly 提出的 ODoH ，增加一层代理，全程加密，连 dns 服务器都不知道是你

redcats

141 天前

DoH 是不是会大大增加延迟？我在 ikuai 上配了 8.8.8.8 的 DoH ，延迟大到离谱

htfcuddles

141 天前

geosite 不全，这样配访问国内 CDN 服务大概率解析到国外。

morytyann

141 天前

@htfcuddles 是的，昨天我看到/t/1053566 的时候就测了，正好是楼主第一种方法，确实会出现这样的问题

vx007

141 天前

境内网站加不加密我不介意，只想境外被牆域名走境外 DOH 即可

vx007

141 天前

@redcats 只要 TCP 和 UDP 不绕路，境外 DOH 解析增加一点点开销可以接受

vx007

141 天前

@htfcuddles 特意下载 geosite 文件查看过，最常用的前 1 万个网站基本包含了，除了小论坛，小盗版资源网站，公司主页等，访问基本没受影响

vx007

141 天前

@morytyann 上面第 1 和第 2 种 dns 效果完全一致，部分小众网站可能被发境外去解析

frankilla

141 天前

https://github.com/Aethersailor/Custom_OpenClash_Rules/wiki/OpenClash-%E8%AE%BE%E7%BD%AE%E6%95%99%E7%A8%8B

MYDB

141 天前

@frankilla 看到 meta 内核立马关闭网页了不想看了

om2mo

141 天前

不用看想要完美解决 dns 泄漏不可能除非你国内域名全部用国外 dns 解析即使你用了 chinalist 也不可能包含所有中国域名

mm2x

141 天前

@redcats 爱快也不支持设置 DoH 啊。我现在就是爱快 Chrome 配置了 DoH 。感觉一切正常。你得先看看你 dns.google 解析正常不

redcats

141 天前

@mm2x #12 支持的啊，你看。https://www.ikuai8.com/index.php?option=com_content&view=article&id=129&Itemid=229#Q1

SenLief

140 天前

其实只要你的梯子足够快，你可以全部都是 proxy

daisyfloor

140 天前

只有 2 种情况是要进行本地 DNS 解析：
1. 命中了一条 IP 规则，那么要解析域名判断是否命中规则
2. 确定要走直连，最终进行域名解析得到 IP 建立连接

事实上实践中应该尽量避免减少本地 DNS 解析，这不仅可以加快网路的访问速度和效率，而且可以避免泄露，尤其是其中 1 的情况，所以正确的做法是在所有 IP 规则最后都应该加上 no-resolve ，包括 GEOIP,CN,DIRECT 这一条，即： - GEOIP,CN,DIRECT,no-resolve

这种情况下，需要去远端的就去远端进行 DNS 解析了，也就不存在泄露，不需要去远端的（直连）反正你也不在乎泄露不泄露，用阿里云解析得到 ip 后直连即可。

dford

140 天前

@daisyfloor
- GEOIP,CN,DIRECT,no-resolve 这个规则逻辑很神奇啊，都有 IP 了还解析啥？

frankilla

140 天前

@MYDB #10 不懂，反正我现在用着没啥毛病。

daisyfloor

140 天前

这是一条 ip 规则，比如你要访问的一个请求是 https：//www.xxx.org/xxxx 如果没有 no-resolve ，那么在没有命中上面的其他规则的的情况下走到这里，就会触发一次本地的 DNS 解析，这里就会泄露。

daisyfloor

140 天前

@dford 看我前一条 replay 。

vx007

140 天前

@daisyfloor 我上面的 dns 配置，本地都拿到境外 ip 了，geoip 规则不加 no-resolve 也不会发生 dns 查询，所以不会泄漏

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1054768

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.