Mihomo的DNS泄漏问题
- 内容介绍
- 文章标签
- 相关推荐
最近在折腾claude,想优化一下代理。然后参考站内佬的mihomo内核dns防泄漏进行了配置,但是Dns Leak Test依旧出来很多国内dns。我是mac的sparkle(mihomo party),是因为软件问题吗?换个Surge会不会好一点。
配置如下:
# ========================= 订阅(从 Sub-Store 来) =========================
proxy-providers:
justmysocks:
type: http
url: "http://127.0.0.1:38324/download/JustMySocks?target=ClashMeta"
interval: 3600
path: ./proxy_provider/justmysocks.yaml
health-check:
enable: true
url: https://cp.cloudflare.com
interval: 300
timeout: 1000
# 规则订阅
rule-providers:
# 秋风广告拦截规则
# https://awavenue.top
# 由于 Anti-AD 误杀率高,本项目已在 1.11-241024 版本更换秋风广告规则
AWAvenue-Ads:
type: http
behavior: domain
format: yaml
# path可为空(仅限clash.meta 1.15.0以上版本)
path: ./rule_provider/AWAvenue-Ads.yaml
url: "https://ghfast.top/https://raw.githubusercontent.com/TG-Twilight/AWAvenue-Ads-Rule/refs/heads/main/Filters/AWAvenue-Ads-Rule-Clash-Classical.yaml"
interval: 600
# ========================= 基础配置 =========================
mode: rule # 需要全局就改成 global
ipv6: false
log-level: info
allow-lan: false
mixed-port: 7890
bind-address: "*"
unified-delay: true
tcp-concurrent: true
external-controller: :9090
geodata-mode: true
geo-update-interval: 24
geox-url:
geoip: "https://cdn.jsdelivr.net/gh/Loyalsoldier/v2ray-rules-dat@release/geoip.dat"
geosite: "https://cdn.jsdelivr.net/gh/Loyalsoldier/v2ray-rules-dat@release/geosite.dat"
mmdb: "https://github.com/MetaCubeX/meta-rules-dat/releases/download/latest/geoip.metadb"
asn: "https://github.com/MetaCubeX/meta-rules-dat/releases/download/latest/GeoLite2-ASN.mmdb"
# 进程匹配模式
# 路由器上请设置为 off
# always 开启,强制匹配所有进程
# strict 默认,由 Clash 判断是否开启
# off 不匹配进程,推荐在路由器上使用此模式
find-process-mode: strict
keep-alive-interval: 1800
# 全局客户端指纹
global-client-fingerprint: random
profile:
store-selected: true
store-fake-ip: true
# 自动同步时间以防止时间不准导致无法正常联网
ntp:
enable: true
write-to-system: false
server: time.apple.com
port: 123
interval: 30
# ========================= 嗅探 =========================
sniffer:
enable: true
parse-pure-ip: true
force-dns-mapping: true
override-destination: false
sniff:
HTTP:
ports: [80, 443]
TLS:
ports: [443]
# ========================= TUN =========================
tun:
enable: true
stack: mixed
dns-hijack:
- any:53
- tcp://any:53
auto-route: true
auto-detect-interface: true
mtu: 1500
strict-route: true
# ========================= DNS =========================
dns:
ipv6: false
enable: true
use-system-hosts: false
use-hosts: false
enhanced-mode: fake-ip
fake-ip-range: 198.18.0.1/16
fake-ip-filter:
- "+.lan"
- "+.local"
- "*.local"
- "localhost"
- geosite:private
- geosite:category-ntp
# IP归属说明
# 1.1.1.1 Cloudflare全球最快的公共 DNS 之一
# 1.0.0.1 Cloudflare 1.1.1.1 的备用
# 8.8.8.8 Google Google 公共 DNS
# 8.8.4.4 Google 8.8.8.8 的备用
# 223.5.5.5 阿里云国内常用,AliDNS
# 223.6.6.6 阿里云 223.5.5.5 的备用
# 使用 sparkle 内置的 DNS 覆写时,如果把基础服务器留空,就会导致当前运行时配置里出现一个显式设置default-nameserver: [],这种情况下内核就会报错。
# 我这个 DNS 配置里不写default-nameserver字段,不等于将其设置为空[],而是让内核用自带的默认值,毕竟这个字段影响不到我这个 DNS 配置的效果,只有设置其他字段的 DNS 是域名形式时(如https://dns.alidns.com/dns-query),才需要先用 IP 形式的default-nameserver(如tls://223.5.5.5或https://223.5.5.5/dns-query)去解析域名形式的 DNS。
# 所以如果你要用sparkle内置的 DNS 覆写,还是应该保留默认的那个。
nameserver:
- https://1.1.1.1/dns-query
- https://8.8.8.8/dns-query
# 解析「代理服务器域名」,防止 nameserver 无法访问导致连不上代理
proxy-server-nameserver:
- https://223.5.5.5/dns-query
- https://223.6.6.6/dns-query
respect-rules: true
nameserver-policy:
geosite:cn:
- https://223.5.5.5/dns-query
- https://223.6.6.6/dns-query
"+.supabase.co":
- https://cloudflare-dns.com/dns-query
- https://dns.google/dns-query
"+.pooler.supabase.com":
- https://cloudflare-dns.com/dns-query
- https://dns.google/dns-query
# ========================= 独立节点 =========================
proxies:
- name: Softbank
# 省略
# ========================= 分组 =========================
proxy-groups:
- name: 节点选择
type: select
use:
- justmysocks
proxies:
- Auto
- Softbank
- DIRECT
- name: Auto
type: url-test
use:
- justmysocks
url: https://cp.cloudflare.com
interval: 300
tolerance: 100
- name: Pure
type: select
proxies:
- Softbank
# ========================= 规则 =========================
rules:
- DOMAIN-SUFFIX,mengying.eu.org,DIRECT
# ===== 广告拦截(优先级最高)=====
- RULE-SET,AWAvenue-Ads,REJECT
- GEOSITE,category-ads-all,REJECT
# ===== 高纯净度 走 Softbank =====
- GEOSITE,openai,Pure
- GEOSITE,anthropic,Pure
- GEOSITE,google,Pure
- DOMAIN-SUFFIX,claude.ai,Pure
- DOMAIN-SUFFIX,anthropic.com,Pure
- DOMAIN-SUFFIX,gemini.google.com,Pure
- DOMAIN-SUFFIX,linux.do,Pure
# ===== Apple / Google 中国直连(必须在 geolocation-!cn 前)=====
- GEOSITE,apple-cn,DIRECT
- GEOSITE,google-cn,DIRECT
# ===== 国内直连(增强)=====
- GEOSITE,cn,DIRECT
- GEOIP,cn,DIRECT
# ===== 局域网 =====
- IP-CIDR,10.0.0.0/8,DIRECT
- IP-CIDR,172.16.0.0/12,DIRECT
- IP-CIDR,192.168.0.0/16,DIRECT
- IP-CIDR,127.0.0.0/8,DIRECT
- IP-CIDR,100.64.0.0/10,DIRECT
- IP-CIDR,168.107.25.92/32,DIRECT
- IP-CIDR,158.179.192.161/32,DIRECT
- IP-CIDR,129.154.51.81/32,DIRECT
# ===== 境外规则 =====
- GEOSITE,gfw,节点选择
- GEOSITE,geolocation-!cn,节点选择
# ===== 兜底 =====
- MATCH,节点选择
hosts:
"www.sky.weyolo.com": 120.232.220.162
"swscan.apple.com": 127.0.0.1
"swdist.apple.com": 127.0.0.1
"swdownload.apple.com": 127.0.0.1
"swcdn.apple.com": 127.0.0.1
"updates-http.cdn-apple.com": 127.0.0.1
"updates.cdn-apple.com": 127.0.0.1
"gdmf.apple.com": 127.0.0.1
"xp.apple.com": 127.0.0.1
"mesu.apple.com": 127.0.0.1
网友解答:
--【壹】--:
已经别的佬解决了,问题是Sparkle接管了DNS,导致我配置没生效。现在我在研究怎么给一个proxy-group整体加前置代理
--【贰】--:
理论上是这样的,但是不麻烦就折腾一下。我想切Surge,但是不支持vless+reality很难受
--【叁】--:
配置问题,研究文档先
--【肆】--:
和全局没关系,就是要把开关关掉,否则Sparkle或接管DNS,忽略你的配置文件
--【伍】--:
mark一下 自己全局环境干净应该不会吧
--【陆】--:
试过了,没用
--【柒】--:
image1594×990 89.2 KB
站内有个佬写了一套脚本,非常丝滑,你可以去搜搜,搜索关键词【丝滑】
--【捌】--:
规则没写好应该是,你看看你全局模式会不会有问题
--【玖】--:
开全局 试试看
--【拾】--:
用这个测一测 https://dnsleaktest.com/
--【拾壹】--:
ip相关的规则看看是否加了no-resolve,比如:- GEOIP,cn,DIRECT,no-resolve。然后你的部分规则我不知道我理解对没,可能你的DOMAIN-SUFFIX是classical类型的规则,这个里面,可能会有多种类型的规则的同时出现,如果某一个里面写了一条ip的规则,那也会产生泄露。
然后你的嗅探里面缺少了QUIC相关的端口设计,我不清楚是否会导致这部分的流量的泄露。
我自己写yaml也搞过一段时间,我参考的666os/yyds的项目。我理解的大概防止dns泄露的方式就是说,用fakeip模式,然后ip类型相关的规则,除非你刻意设计,不然最好都加no-resolve。因为mihomo为了识别和匹配你的这个ip规则,势必要dns解析后才能获取到ip,然后再去你的规则里面去匹配是否有这个ip,这个时候就产生了泄露。所以主流的做法就是,加no-resolve字段来避免本地产生ip的解析。
--【拾贰】--:
还是建议排查一下,域名遇到没有 no-resolve 的 IP 规则稳定触发 DNS 解析,而几乎所有的 DNS 泄露都是这种情况导致的。
--【拾叁】--:
试试这样
proxies:
- name: "dns-out"
type: dns
然后
- DST-PORT,53,dns-out
不过我是路由器代理,你可以试一下有没有用
image1235×896 84.8 KB
--【拾肆】--:
dns:
# 开启 Clash 内置 DNS
enable: true
# 禁用 IPv6
ipv6: false
# 不读取系统的 hosts 文件
use-system-hosts: false
# fake-ip:当程序请求解析域名时,Clash 不进行真正的 DNS 查询,而是立即返回一个假的 IP 地址(来自 fake-ip-range 范围)
enhanced-mode: fake-ip
# fake-ip 的地址池范围(198.18.0.1 到 198.18.255.254)
fake-ip-range: 198.18.0.1/16
# fake-ip 的过滤列表:不使用 Fake-IP,而是返回真实 IP
fake-ip-filter:
- "*.lan"
- "*.local"
- "*.baidu.com"
- "*.taobao.com"
- "*.jd.com"
- "*.weixin.com"
- "*.qq.com"
- "*.music.163.com"
- "*.126.net"
- "*.kuwo.cn"
- "*.xiami.com"
- "*.msftconnecttest.com"
- "*.msftncsi.com"
- "time.windows.com"
- "time.nist.gov"
- "time.apple.com"
- "pool.ntp.org"
- "ntp.aliyun.com"
- "music.163.com"
# 启动引导 DNS(通常用国内公共 DNS):在 Clash 刚启动时使用的 DNS,专门用来解析 nameserver 中的 DoH 服务器域名
default-nameserver:
- "114.114.114.114" # 114
- "223.5.5.5" # 阿里云
- "119.29.29.29" # 腾讯
- "1.1.1.1" # Cloudflare
- "8.8.8.8" # Google
# 主要 DNS:日常使用的 DNS,解析绝大多数域名(除非被 fallback-filter 拦截)
nameserver:
- "https://1.1.1.1/dns-query" # Cloudflare
- "tls://1.1.1.1:853"
# 后备 DNS
fallback:
- "https://1.1.1.1/dns-query" # Cloudflare
- "https://8.8.8.8/dns-query" # Google
- "https://dns.quad9.net/dns-query" # Quad9
- "tls://1.1.1.1:853"
- "tls://8.8.8.8:853"
- "tls://dns.quad9.net:853"
# - "后备 DNS 过滤器:决定哪些域名应该用国外 DNS 解析
fallback-filter:
# 启用地理IP检测
geoip: true
# 明确指定中国IP:DNS 返回的 IP 是中国大陆 IP,不使用后备 DNS
geoip-code: CN
# DNS 返回的 IP 在指定范围内,不使用后备 DNS
ipcidr:
- "240.0.0.0/4"
# 强制使用后备 DNS 的域名
domain:
- "+.google.com"
- "+.facebook.com"
- "+.twitter.com"
- "+.x.com"
- "+.youtube.com"
- "+.openai.com"
- "+.github.com"
- "+.microsoft.com"
- "+.netflix.com"
- "+.spotify.com"
- "+.telegram.org"
- "+.whatsapp.net"
- "+.cloudflare.com"
--【拾伍】--:
IP 类型的规则后面添加 no-resolve 关键字。
--【拾陆】--:
image1920×1745 439 KB
佬,你有遇到这种情况吗,下面没事,但是上面显示的是真实的IP
--【拾柒】--:
dns泄露根本没影响,折腾这个是浪费时间
--【拾捌】--:
自然是研究无果
--【拾玖】--:
image2220×502 58.4 KB
最近在折腾claude,想优化一下代理。然后参考站内佬的mihomo内核dns防泄漏进行了配置,但是Dns Leak Test依旧出来很多国内dns。我是mac的sparkle(mihomo party),是因为软件问题吗?换个Surge会不会好一点。
配置如下:
# ========================= 订阅(从 Sub-Store 来) =========================
proxy-providers:
justmysocks:
type: http
url: "http://127.0.0.1:38324/download/JustMySocks?target=ClashMeta"
interval: 3600
path: ./proxy_provider/justmysocks.yaml
health-check:
enable: true
url: https://cp.cloudflare.com
interval: 300
timeout: 1000
# 规则订阅
rule-providers:
# 秋风广告拦截规则
# https://awavenue.top
# 由于 Anti-AD 误杀率高,本项目已在 1.11-241024 版本更换秋风广告规则
AWAvenue-Ads:
type: http
behavior: domain
format: yaml
# path可为空(仅限clash.meta 1.15.0以上版本)
path: ./rule_provider/AWAvenue-Ads.yaml
url: "https://ghfast.top/https://raw.githubusercontent.com/TG-Twilight/AWAvenue-Ads-Rule/refs/heads/main/Filters/AWAvenue-Ads-Rule-Clash-Classical.yaml"
interval: 600
# ========================= 基础配置 =========================
mode: rule # 需要全局就改成 global
ipv6: false
log-level: info
allow-lan: false
mixed-port: 7890
bind-address: "*"
unified-delay: true
tcp-concurrent: true
external-controller: :9090
geodata-mode: true
geo-update-interval: 24
geox-url:
geoip: "https://cdn.jsdelivr.net/gh/Loyalsoldier/v2ray-rules-dat@release/geoip.dat"
geosite: "https://cdn.jsdelivr.net/gh/Loyalsoldier/v2ray-rules-dat@release/geosite.dat"
mmdb: "https://github.com/MetaCubeX/meta-rules-dat/releases/download/latest/geoip.metadb"
asn: "https://github.com/MetaCubeX/meta-rules-dat/releases/download/latest/GeoLite2-ASN.mmdb"
# 进程匹配模式
# 路由器上请设置为 off
# always 开启,强制匹配所有进程
# strict 默认,由 Clash 判断是否开启
# off 不匹配进程,推荐在路由器上使用此模式
find-process-mode: strict
keep-alive-interval: 1800
# 全局客户端指纹
global-client-fingerprint: random
profile:
store-selected: true
store-fake-ip: true
# 自动同步时间以防止时间不准导致无法正常联网
ntp:
enable: true
write-to-system: false
server: time.apple.com
port: 123
interval: 30
# ========================= 嗅探 =========================
sniffer:
enable: true
parse-pure-ip: true
force-dns-mapping: true
override-destination: false
sniff:
HTTP:
ports: [80, 443]
TLS:
ports: [443]
# ========================= TUN =========================
tun:
enable: true
stack: mixed
dns-hijack:
- any:53
- tcp://any:53
auto-route: true
auto-detect-interface: true
mtu: 1500
strict-route: true
# ========================= DNS =========================
dns:
ipv6: false
enable: true
use-system-hosts: false
use-hosts: false
enhanced-mode: fake-ip
fake-ip-range: 198.18.0.1/16
fake-ip-filter:
- "+.lan"
- "+.local"
- "*.local"
- "localhost"
- geosite:private
- geosite:category-ntp
# IP归属说明
# 1.1.1.1 Cloudflare全球最快的公共 DNS 之一
# 1.0.0.1 Cloudflare 1.1.1.1 的备用
# 8.8.8.8 Google Google 公共 DNS
# 8.8.4.4 Google 8.8.8.8 的备用
# 223.5.5.5 阿里云国内常用,AliDNS
# 223.6.6.6 阿里云 223.5.5.5 的备用
# 使用 sparkle 内置的 DNS 覆写时,如果把基础服务器留空,就会导致当前运行时配置里出现一个显式设置default-nameserver: [],这种情况下内核就会报错。
# 我这个 DNS 配置里不写default-nameserver字段,不等于将其设置为空[],而是让内核用自带的默认值,毕竟这个字段影响不到我这个 DNS 配置的效果,只有设置其他字段的 DNS 是域名形式时(如https://dns.alidns.com/dns-query),才需要先用 IP 形式的default-nameserver(如tls://223.5.5.5或https://223.5.5.5/dns-query)去解析域名形式的 DNS。
# 所以如果你要用sparkle内置的 DNS 覆写,还是应该保留默认的那个。
nameserver:
- https://1.1.1.1/dns-query
- https://8.8.8.8/dns-query
# 解析「代理服务器域名」,防止 nameserver 无法访问导致连不上代理
proxy-server-nameserver:
- https://223.5.5.5/dns-query
- https://223.6.6.6/dns-query
respect-rules: true
nameserver-policy:
geosite:cn:
- https://223.5.5.5/dns-query
- https://223.6.6.6/dns-query
"+.supabase.co":
- https://cloudflare-dns.com/dns-query
- https://dns.google/dns-query
"+.pooler.supabase.com":
- https://cloudflare-dns.com/dns-query
- https://dns.google/dns-query
# ========================= 独立节点 =========================
proxies:
- name: Softbank
# 省略
# ========================= 分组 =========================
proxy-groups:
- name: 节点选择
type: select
use:
- justmysocks
proxies:
- Auto
- Softbank
- DIRECT
- name: Auto
type: url-test
use:
- justmysocks
url: https://cp.cloudflare.com
interval: 300
tolerance: 100
- name: Pure
type: select
proxies:
- Softbank
# ========================= 规则 =========================
rules:
- DOMAIN-SUFFIX,mengying.eu.org,DIRECT
# ===== 广告拦截(优先级最高)=====
- RULE-SET,AWAvenue-Ads,REJECT
- GEOSITE,category-ads-all,REJECT
# ===== 高纯净度 走 Softbank =====
- GEOSITE,openai,Pure
- GEOSITE,anthropic,Pure
- GEOSITE,google,Pure
- DOMAIN-SUFFIX,claude.ai,Pure
- DOMAIN-SUFFIX,anthropic.com,Pure
- DOMAIN-SUFFIX,gemini.google.com,Pure
- DOMAIN-SUFFIX,linux.do,Pure
# ===== Apple / Google 中国直连(必须在 geolocation-!cn 前)=====
- GEOSITE,apple-cn,DIRECT
- GEOSITE,google-cn,DIRECT
# ===== 国内直连(增强)=====
- GEOSITE,cn,DIRECT
- GEOIP,cn,DIRECT
# ===== 局域网 =====
- IP-CIDR,10.0.0.0/8,DIRECT
- IP-CIDR,172.16.0.0/12,DIRECT
- IP-CIDR,192.168.0.0/16,DIRECT
- IP-CIDR,127.0.0.0/8,DIRECT
- IP-CIDR,100.64.0.0/10,DIRECT
- IP-CIDR,168.107.25.92/32,DIRECT
- IP-CIDR,158.179.192.161/32,DIRECT
- IP-CIDR,129.154.51.81/32,DIRECT
# ===== 境外规则 =====
- GEOSITE,gfw,节点选择
- GEOSITE,geolocation-!cn,节点选择
# ===== 兜底 =====
- MATCH,节点选择
hosts:
"www.sky.weyolo.com": 120.232.220.162
"swscan.apple.com": 127.0.0.1
"swdist.apple.com": 127.0.0.1
"swdownload.apple.com": 127.0.0.1
"swcdn.apple.com": 127.0.0.1
"updates-http.cdn-apple.com": 127.0.0.1
"updates.cdn-apple.com": 127.0.0.1
"gdmf.apple.com": 127.0.0.1
"xp.apple.com": 127.0.0.1
"mesu.apple.com": 127.0.0.1
网友解答:
--【壹】--:
已经别的佬解决了,问题是Sparkle接管了DNS,导致我配置没生效。现在我在研究怎么给一个proxy-group整体加前置代理
--【贰】--:
理论上是这样的,但是不麻烦就折腾一下。我想切Surge,但是不支持vless+reality很难受
--【叁】--:
配置问题,研究文档先
--【肆】--:
和全局没关系,就是要把开关关掉,否则Sparkle或接管DNS,忽略你的配置文件
--【伍】--:
mark一下 自己全局环境干净应该不会吧
--【陆】--:
试过了,没用
--【柒】--:
image1594×990 89.2 KB
站内有个佬写了一套脚本,非常丝滑,你可以去搜搜,搜索关键词【丝滑】
--【捌】--:
规则没写好应该是,你看看你全局模式会不会有问题
--【玖】--:
开全局 试试看
--【拾】--:
用这个测一测 https://dnsleaktest.com/
--【拾壹】--:
ip相关的规则看看是否加了no-resolve,比如:- GEOIP,cn,DIRECT,no-resolve。然后你的部分规则我不知道我理解对没,可能你的DOMAIN-SUFFIX是classical类型的规则,这个里面,可能会有多种类型的规则的同时出现,如果某一个里面写了一条ip的规则,那也会产生泄露。
然后你的嗅探里面缺少了QUIC相关的端口设计,我不清楚是否会导致这部分的流量的泄露。
我自己写yaml也搞过一段时间,我参考的666os/yyds的项目。我理解的大概防止dns泄露的方式就是说,用fakeip模式,然后ip类型相关的规则,除非你刻意设计,不然最好都加no-resolve。因为mihomo为了识别和匹配你的这个ip规则,势必要dns解析后才能获取到ip,然后再去你的规则里面去匹配是否有这个ip,这个时候就产生了泄露。所以主流的做法就是,加no-resolve字段来避免本地产生ip的解析。
--【拾贰】--:
还是建议排查一下,域名遇到没有 no-resolve 的 IP 规则稳定触发 DNS 解析,而几乎所有的 DNS 泄露都是这种情况导致的。
--【拾叁】--:
试试这样
proxies:
- name: "dns-out"
type: dns
然后
- DST-PORT,53,dns-out
不过我是路由器代理,你可以试一下有没有用
image1235×896 84.8 KB
--【拾肆】--:
dns:
# 开启 Clash 内置 DNS
enable: true
# 禁用 IPv6
ipv6: false
# 不读取系统的 hosts 文件
use-system-hosts: false
# fake-ip:当程序请求解析域名时,Clash 不进行真正的 DNS 查询,而是立即返回一个假的 IP 地址(来自 fake-ip-range 范围)
enhanced-mode: fake-ip
# fake-ip 的地址池范围(198.18.0.1 到 198.18.255.254)
fake-ip-range: 198.18.0.1/16
# fake-ip 的过滤列表:不使用 Fake-IP,而是返回真实 IP
fake-ip-filter:
- "*.lan"
- "*.local"
- "*.baidu.com"
- "*.taobao.com"
- "*.jd.com"
- "*.weixin.com"
- "*.qq.com"
- "*.music.163.com"
- "*.126.net"
- "*.kuwo.cn"
- "*.xiami.com"
- "*.msftconnecttest.com"
- "*.msftncsi.com"
- "time.windows.com"
- "time.nist.gov"
- "time.apple.com"
- "pool.ntp.org"
- "ntp.aliyun.com"
- "music.163.com"
# 启动引导 DNS(通常用国内公共 DNS):在 Clash 刚启动时使用的 DNS,专门用来解析 nameserver 中的 DoH 服务器域名
default-nameserver:
- "114.114.114.114" # 114
- "223.5.5.5" # 阿里云
- "119.29.29.29" # 腾讯
- "1.1.1.1" # Cloudflare
- "8.8.8.8" # Google
# 主要 DNS:日常使用的 DNS,解析绝大多数域名(除非被 fallback-filter 拦截)
nameserver:
- "https://1.1.1.1/dns-query" # Cloudflare
- "tls://1.1.1.1:853"
# 后备 DNS
fallback:
- "https://1.1.1.1/dns-query" # Cloudflare
- "https://8.8.8.8/dns-query" # Google
- "https://dns.quad9.net/dns-query" # Quad9
- "tls://1.1.1.1:853"
- "tls://8.8.8.8:853"
- "tls://dns.quad9.net:853"
# - "后备 DNS 过滤器:决定哪些域名应该用国外 DNS 解析
fallback-filter:
# 启用地理IP检测
geoip: true
# 明确指定中国IP:DNS 返回的 IP 是中国大陆 IP,不使用后备 DNS
geoip-code: CN
# DNS 返回的 IP 在指定范围内,不使用后备 DNS
ipcidr:
- "240.0.0.0/4"
# 强制使用后备 DNS 的域名
domain:
- "+.google.com"
- "+.facebook.com"
- "+.twitter.com"
- "+.x.com"
- "+.youtube.com"
- "+.openai.com"
- "+.github.com"
- "+.microsoft.com"
- "+.netflix.com"
- "+.spotify.com"
- "+.telegram.org"
- "+.whatsapp.net"
- "+.cloudflare.com"
--【拾伍】--:
IP 类型的规则后面添加 no-resolve 关键字。
--【拾陆】--:
image1920×1745 439 KB
佬,你有遇到这种情况吗,下面没事,但是上面显示的是真实的IP
--【拾柒】--:
dns泄露根本没影响,折腾这个是浪费时间
--【拾捌】--:
自然是研究无果
--【拾玖】--:
image2220×502 58.4 KB