Mihomo(Clash.Meta) 匹配路由规则的 DNS 配置

90 天前
 Rabbit52

参考资料:

先贴我的的 dns 配置

dns:
  enable: true
  listen: 0.0.0.0:7874
  ipv6: false
  enhanced-mode: redir-host
  respect-rules: true
  # 附加参数 #RULES 为遵守路由规则进行连接,等同于 respect-rules
  nameserver:
  # 指定使用 dns 路由规则进行连接
  # nameserver-policy 未匹配的域名将使用以下 dns 解析
    - tls://8.8.8.8#dns
    - tls://1.1.1.1#dns
  proxy-server-nameserver:
    - https://120.53.53.53/dns-query
    - https://223.5.5.5/dns-query
  nameserver-policy:
    # 白名单分组使用运营商 dns 解析
    "geosite:private,onedrive,microsoft@cn,apple,apple-cn,category-games@cn,cn":
      - 运营商 dns
    # 自定义白名单分组同样使用 运营商 dns 解析
    "rule-set:custom-direct":
      - 运营商 dns

解释一下我的场景,路由器上使用 mihomo 插件,白名单模式,未开启 ipv6 ,使用 geosite 规则,路由规则如下:

rules:
  - GEOIP,lan,DIRECT,no-resolve
  - GEOSITE,private,DIRECT
  # 高优先级标注需要代理的规则防止被后面的直连规则影响
  - GEOSITE,google,其他
  - GEOSITE,google-cn,其他
  - RULE-SET,openai,OpenAI
  # 以下为直连
  - GEOSITE,onedrive,DIRECT
  - GEOSITE,microsoft@cn,DIRECT
  - GEOSITE,apple,DIRECT
  - GEOSITE,apple-cn,DIRECT
  - GEOSITE,steam@cn,DIRECT
  - GEOSITE,category-games@cn,DIRECT
  - GEOSITE,cn,DIRECT
  - GEOIP,CN,DIRECT
  - RULE-SET,custom-direct,DIRECT
  # 剩余全代理
  - MATCH,其他

配置思路如下:

  1. 将我认为直连能获得更佳体验的分组打上 DIRECT 规则并且使用运营商 dns 进行解析,获得国内 CDN 加成,比如 apple, ms, dji, steam 等。
  2. 未使用 fallback 配置,避免直连解析耗时较长。
  3. 使用 rule-providers 自定义直连规则降低 nameserver-policy 配置复杂度。
3353 次点击
所在节点    宽带症候群
23 条回复
vvhy
90 天前
geoip 没加 no-resolve
可以用 wireshark 抓包确认一下
Rabbit52
89 天前
@vvhy 查了下确实很多人都像你说的这样配置,但是不理解为什么已经匹配到 ip 规则,说明已经解析过了,还需要指定不解析呢
Rebron1900
89 天前
大佬,openclash 的 meta 内核能用吗?
Rabbit52
89 天前
@Rebron1900 能用,但是注意根据自己的实际情况调整
vvhy
89 天前
@Rabbit52 比如浏览器发出一个域名的请求,如果不加 no-resolve ,clash 就会先把域名解析成 ip ,再判断 ip 规则是否满足
Rabbit52
89 天前
@vvhy 文档的意思好像 no-resolve 的参数只适用于 ip 集,不是域名,我就没搞懂了

https://wiki.metacubex.one/config/rules/#no-resolve
JohnSmith
88 天前
@Rabbit52 #2 mihomo 的实现,不会去依赖 rules 之间的顺序的,也就是不会带上下文
Rabbit52
88 天前
@JohnSmith 我的意思是 ip 集的规则它为什么需要 no-resolve 参数呢,本来就有 ip 了呀
remidre
84 天前
@Rabbit52 解析是从上至下的,假如有个域名[www.google.com]要走你的规则,一上来碰到的是 ip 集,clash 会先把域名解析成 ip 去匹配你的 ip 集,如果命中了就走你的 ip 规则,没命中就走后面的域名规则,但它已经被解析成 ip 了,后续就不会走你的域名规则了。所以一般 ip 类规则的放后面,或者加 no-resolve ,强制不解析
Rabbit52
84 天前
@remidre 感谢 解释的很清楚,那看来 match 前加 no-resolve 的可能会代理上一些没在列表内的 cn ip ,不过这本来就是预期内的。
1014982466
82 天前
问一下大佬, listen: 0.0.0.0:7874 后面端口号是随便写?要不要写 DNS 的 53 端口?我看有的教程随便写,有的写 53 ,有的写 5353
Rabbit52
82 天前
@1014982466 随便写,只要不被占用就行,如果在路由器上运行 53 肯定已经被占用了,如果是提供 dns 服务可以用 53
wcnmm
68 天前
有一点要指出,你用了 redir-host ,no-reslove 就没用了。no-reslove 是给 fake-ip 用的
Rabbit52
67 天前
@wcnmm 这个倒是没有查到文档诶,方便指一下路吗?
wcnmm
67 天前
@Rabbit52 官方文档以前有关于 redir-host 和 fake-ip 的解析流程。去年起好像就找不到了
https://wiki.metacubex.one/config/dns/diagram/ 而这个并不是讲 redirr-hsot / fake-ip 特性的
以下是回忆内容,会部分细节不准的地方,大致流程我确定是对的:
redir-host 就是本地请求 ip ,返回的结果仅用于规则判断,再发起代理(同时发送域名给节点)
fake-ip 就是返回假 ip 先用于规则判断,再连接。(直接就是本地请求,代理就是发送域名远程解析)

比较之下,就是 redir-host 一定会进行一次本地解析。你也可以直接打开面板看看 inner 类型,代表核心主动发出的请求,在代理环境且规则配置无误的情况下( fake-ip 给 ip 规则添加了 no-resolve 或者 ip 规则排靠后) fake-ip 是不会发起 dns 请求的,而 redir-host 就会有长连接
zhf883680
47 天前
respect-rules: true
开启了这个 还需要配置 nameserver-policy 吗
respect-rules 都规定 dns 连接遵守路由规则了
正好在疑问这个东西
Rabbit52
47 天前
@zhf883680 按照我对文档的理解这个选项和 tls://8.8.8.8#dns 后面这个 #dns 是一样的效果, 意思是连接 dns 服务时遵循代理规则, 也就是说 8.8.8.8 如果在代理规则里面代理, 那么 dns 查询就要代理, 或者指定 #dns 走 dns 分组规则. 和 nameserver-policy 应该没关系
Awes0me
36 天前
套用了你的模板挺多这种 warning 的,不知道怎么回事

[TCP] dial DIRECT (match GeoSite/cn) 127.0.0.1:50427 --> qny.smzdm.com:443 error: connect failed: dial tcp 154.85.73.15:443: i/o timeout dial tcp 154.85.73.17:443: i/o timeout dial tcp 154.85.73.16:443: i/o timeout
Rabbit52
36 天前
@Awes0me 我也有很多这样的日志,不知道为何,但是用起来也没有什么问题
Awes0me
36 天前
@Rabbit52 我用起来问题还是蛮大的... 国内网站明显很慢

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1074706

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX