干净 DNS 方案分享

over tcp 就可以

53 端口的 dns 国内直接给你抢答了方案一和 2b 有用吗🐶

在用 nextdns，感觉不错

安利一下 ts-dns,电脑用足够了

单纯干净的 dns，解析的结果距离太远体验也不好，直接特定列表的域名 dns over proxy 最合适，解析结果离 proxy 最近。

@binux 请问 nextDNS 能兼顾本地 cdn(国内加速）和防治 DNS 污染的双重重任吗？

dnsmasq 够了 国内域名用 114 国外域名用非标准端口 DNS

最近山东联通总“夜某直播” 呵呵呵呵呵……

国外的单方案直接可以 PASS，因为国外根本没有考虑过 CDN 的解析问题。各国都是 anycast 而已。

“你懂的”……嘿嘿，这个最靠谱。

@idolyuri 我也在用

说实话，国内这个狂野的网络环境，没有比运营商 DNS 更靠谱的了
至于劫持。。。本地配个 PAC 吧，也没办法

思路不对，干净 DNS 并不难，关键是分流。国内网站交给谷歌或者 CF 去解析速度会大打折扣。

53 端口 UDP 的任何 IP 地址 DNS 效果都一样。详见移动专利。
境内外分流可以看下 https://github.com/shawn1m/overture

@shadownet #6 可以的，配置开启 EDNS，最好另外搭配 dnsmasq 的 add-subnet 配置，结果会更准😏

安利 dnspod

核心问题就 你怎么判断一个域名被污染了 需要加密去解析 。如果没被污染 那么国内 114 就可以。

@qiyaooozz DNSPOD 我觉得可以

CoreDns 方案，核心就是利用有人放出来 dnsmasq 的 accelerated-domains.china.conf 列表（包含了绝大部分有 cdn 的国内域名）
原始思路参考这个 https://blog.minidump.info/2019/07/coredns-no-dns-poisoning/
现在我国内用阿里的 dot，极端情况 failback 到 dnspod 和 114
.:5305 {
bind 127.0.0.1
forward . tls://223.5.5.5 tls://223.6.6.6 {
tls_servername dns.alidns.com
}
fallback REFUSED . 119.29.29.29 114.114.114.114
fallback SERVFAIL . 119.29.29.29 114.114.114.114
}
国外用 CF 和 google 的 dot，暂时还能直通。配了个 opendns 的 5353 tcp 应急。

Linux 下全 c 方案
dnsmasq -> chinadns-ng -> https_dns_proxy (4 个分别指向 opendns cf ali 360 的 doh，google 的 doh 是不通的)
dnsmasq 负责缓存和少量内网域名
chinadns-ng 根据列表负责分流，以及高可用（这样国内的 360 也可以用了）
https_dns_proxy 负责转发 doh

列表是参考了 https://github.com/wongsyrone/domain-block-list 去整合了两个来源的列表