撸了一个 Clash 的 GUI, 自带规则开箱即用

@Buges 用 adgh 分流或者 smartdns 也可以。加密的 dns 站内有友搭建的有，你去 v 站 dns 节点就能看见。从你的回复我能看出来，你并不十分清楚 clash 的 dns 流程，建议看看苏卡卡关于 dns 的文章和 githubissue 区的一些 issue 。另外用一个 adgh 搭建一个自己的加密 dns 是十分简单的，站内有很多 v 友就是这样做的。最后一条回复

Clash 本来就可以引入 Rulesets ，算方便了，更何况还有 [subconverter]( https://github.com/tindy2013/subconverter)，这类工具，配置维护是没什么难度的。

@yanyumihuang 这不就是我上面说的，换用外部 dns 服务器才能缓解 clash dns 模块的泄露问题。clash 的 dns 流程只拿来匹配 IP 规则用，最终结果还是发送域名的连接请求（这会导致实际配置的 dot/doh 全部失效，dns 解析全部暴露给远端网络提供商，不过这就是另一个问题了）。
更稳妥的方法是连 fake-ip 也不用，完全放弃 clash 的域名规则，域名分流全部由外部 dns 服务配合 ipset/nft set 实现。
一句话说，使用 clash 内置的 dns 模块（和依赖 dns 模块的分流机制）会暴露域名给有关部门。如果你觉得自己日常访问的所有被封禁的违法违规的境外网站全部向有关部门披露都没问题，那当然可以正常使用；但很多用户可能根本就不知道这种行为，所以我觉得还是需要提醒一下风险。

@ByteCat #42 学习了

支持 meta clash 内核吗？ mac 上没有一个可以用 meta 的

clash 自己一直不支持 DNS 走代理，这是它的设计缺陷没得洗。先不说 DNS 泄露问题，fallback-nameserver 都只能直连，使用体验上根本没法用。

不过也因此，现在大多数人用的规则集，都会配置 gfwlist 或者类似的境外黑名单走 PROXY （否则交给 fallback-server 太慢了），大部分敏感域名都能命中，不会走到本地 resolve 这一步。 @Buges

@jsq2627 这下倒车回到当年 pac 时代的黑名单了，不过也确实过滤大量敏感域名后能缓解相当一部分问题。
但黑名单终归不可靠，过度依赖规则的维护，除非极轻度使用，可靠性上不如早就流行的 CN ip + geosite:cn 的白名单方式。
终归 clash 更像是为服务的提供者而非最终用户设计的，注重易用性、忽略安全、节点切换，以及规则托管，都是为了方便服务的提供者。还有一些行为，如节点如果未指定默认视为不支持 UDP ，且如果规则到最后也没匹配到支持 UDP 的节点的话会默认直连（ Match,final 也会漏掉）而非丢弃。怎么看目标客户都像是为服务提供者设计的。

@jsq2627 meta 核支持 fallback-nameserver 代理，方便多了

@estk 白名单 500

@sickoo v2rayn 也不能热更换，也要重启才行

还没仔细看 至少 clashx 不能加自己的规则（ macOS 版本），因为一更新之后就覆盖，一直没研究到方法，看起来楼主的这个方法好想可以，先 star 为敬

@CharlesGray 多谢，才知道有这个 Meta 核。

@Buges 我理解你的意思了，即是说配置外部 dns 服务，使用 doh/dot 走代理，并且 dns 服务器需要是可信的国外服务。我目前也是这个方案。

clash 很多设计确实不尽人意，比如 provider 更新、dns fallback 不能走代理之类的。我也没想明白 dns fallback 不允许走代理的设定是为什么。

你的第一条提醒看上去的意思是“clash 内置 dns 导致了 dns 泄漏”，可能会让人误以为你的意思是（或许只有我误会了）“关掉内置 dns 或者修改默认配置就能避免 dns 泄漏”，实际上还需要搭配一个外置的 dns 服务。

应该就是这样。

其实蛮想要的一种功能是"负载均衡", 可以把所有线路都调用起来

@studyingss 我的意思只是提醒普通用户或没有仔细阅读文档甚至源码并手动编写配置的用户，如果使用了默认的（官方示例 or 提供商托管）配置，大概率访问的域名已经暴露给了 ISP 和有关部门。
这是 clash 本身设计的“缺陷”，虽然通过外部服务可以一定程度缓解，但对很多用户（尤其是终端而非网关）是很难达成的。
当然你要说不尽人意也未必，只是不尽我们意，对服务提供商来说各种泄露流量外加配置托管，可以由服务商控制哪些流量被代理（大部分用户不会自己写配置），方便还能节省成本，好用的很呢。

@TcDhl 这个是不是理论上技术做不到

建议增加 Linux 版。Linux 上好用的代理软件不多了…

@qwerzl 考虑这个吗 https://github.com/zzzgydi/clash-verge

@qwerzl 推荐一下我写的 clashweblite, https://github.com/ctaoist/clashweblite, 主打跨平台，轻量

@TcDhl
@hanbing135
可以，但是大概率会被各类网站 ban
同一个用户凭证，同时在十几个国家或地区上线......