设为首页
收藏本站
切换到宽版
用户名
Email
自动登录
找回密码
密码
登录
注册
快捷导航
论坛
BBS
排行榜
Ranklist
搜索
搜索
热搜:
香港vps
香港VPS
amh
机柜
vps
分销
VPS
域名出售
火车头
云主机
不限流量
香港服务器
美国服务器
香港
全能空间
whmcs
digitalocean
本版
帖子
用户
MJJ论坛
»
论坛
›
主机综合交流
›
美国VPS综合讨论
›
软路由很多人推崇的MosDNS+Clash模式到底有没有用 ...
1
2
3
/ 3 页
下一页
返回列表
查看:
13548
|
回复:
31
软路由很多人推崇的MosDNS+Clash模式到底有没有用
[复制链接]
在7楼
在7楼
当前离线
积分
8496
发表于 2023-6-30 01:53:37
|
显示全部楼层
|
阅读模式
最近我在旁路由上部署了一个Open Clash,TUN + Fake IP模式,可以正常深造,也没有DNS污染问题(Clash本身的fall back机制就可以解决污染问题),但是有DNS泄露的情况。
查了些资料,发现很多人都会在Clash前面,加一个MosDNS(或者还会在前面再加一个ADG Home),让MosDNS来分流DNS。
主要学习了下恩山shiift老哥的这一篇:https://www.right.com.cn/forum/thread-8284982-1-1.html
因为MosDNS在Clash前面,DNS先进到MosDNS里,然后根据规则,判断是否是国内域名,会有以下3种情况
- 国内域名,会向国内DNS服务器请求拿IP;
- 国外域名,会将DNS发给Clash,Clash会返回Fake IP;
- 未知,会同时向国内和国外DNS服务器发送请求,拿IP
IP(国内真IP或Fake IP)返回给客户端后,客户端发起TCP/IP链接,再次被Clash拦截到,此时有2种情况:
- 1.IP是之前的Fake IP,那么Clash能在自己的Fake IP映射表里拿到原始域名,此时会根据域名去匹配路由规则,
- 1.1.如果符合国外规则,就将请求包装好,直接扔给代理服务器,由远端DNS;
- 1.2.如果符合国内规则,发起DNS,拿到真实IP,Clash直连
- 1.3.如果域名没匹配到,会尝试使用IP路由,此时Clash会发起DNS拿IP
- 2.IP是国内真实IP,那么Clash在自己Fake IP映射表里找不到,会被当成针对IP的请求,只会使用IP规则去路由,且不会发生DNS
但,这种模式真的有用吗?或者说它真的是一种好的方案吗?
就目前我个人的疑问如下:
1. 针对国内站点的请求在Clash里全部变成只能根据IP规则路由了
原因是,在DNS时,MosDNS返回了国内真实IP,所以Clash截获TCP/IP链接时,用这个真实IP去自己的Fake IP映射表内,查不到原始域名,所以会判断为是对IP发起的请求,且此时只能根据IP去匹配路由规则。
但对代理来说使用域名规则路由是首选,IP是其次。
有使用这种模式的老哥可以帮忙验证下,是不是Clash日志里,所有国内站点,都不会显示域名了,而是显示IP。
2. 发生了2次Fake IP
如 https://www.right.com.cn/forum/thread-8284982-1-1.html 这里,第12步的地方,是将Clash的NameServer设置为了127.0.0.1,假设请求的是国外站点A,会发生如下流程:
- 客户端发起DNS,来到MosDNS
- MosDNS判断为国外域名,转到Clash
- Clash返回Fake IP,并记录到自己的映射表
- 客户端用Fake IP发起请求
- 请求被Clash截获,Clash从映射表拿到原始域名
- 使用原始域名匹配路由规则,如果没有匹配到,会尝试使用IP规则分流
- Clash发起DNS拿IP,此时会同时从nameserver组和fallback组内的DNS服务器发起请求
- NameServer的127.0.0.1是自身,DNS又轮回了一遍,重新进到MosDNS,然后判断国外域名又被分流到Clash,Clash再次返回Fake IP
- 因为是Fake IP,所以Clash会抛弃,去使用fallback的结果
最终虽然通过fallback成功拿到真实IP,但是也多了一次DNS查询,这个查询兜了一圈,回到Clash并再次触发了Fake IP。
其实127.0.0.1也还算好的,如果不小心在NameServer组配置了国内的DNS服务器,那就是发生DNS泄露了。
综上,这种模式确实在正常情况下,可以避免DNS泄露,也能正常工作,但是又感觉有很多地方不是很规范。
另外,是不是可以把MosDNS作为Clash的上游,会更好一点,这样的话:
客户端发起DNS,进入到Clash,返回Fake IP,并记录到自己的映射表。
客户端发起请求,Clash拦截到,拿到原始域名,此时进行规则分流,2种情况:
- 1.域名规则可以命中,再分2种情况
- 1.1.国外,不用DNS,直接扔给代理服务器,DNS由远端代理服务器做
- 1.2.国内,发起DNS,上游MosDNS接管,拿到IP,Clash直连
- 2.域名规则没中,尝试使用IP规则匹配,发起DNS,上游MosDNS接管,拿到真实IP
- 2.1.如果是国内IP,Clash就直连;
- 2.2.如果国外IP,Clash直接扔远端代理服务器
而且大部分情况都是1.1和1.2,根据域名规则能匹配到分流,1.1不用DNS,1.2能充分利用到MosDNS
不知道上面的想法对不,又或者说,根本不需要关心DNS泄露问题?
单选投票
, 共有 97 人参与投票
查看投票参与人
投票已经结束
1. 有用,就该这么配
4.12%
(4)
2. 没用,应该把MosDNS放Clash上游
4.12%
(4)
3. 没用,我有其他更好的方法
3.09%
(3)
4. 配个屁,Clash裸奔,不用关心DNS泄露
36.08%
(35)
5. mjj
52.58%
(51)
您所在的用户组没有投票权限
回复
举报
主机淘
主机淘
当前离线
积分
6972
发表于 2023-6-30 01:55:56
|
显示全部楼层
没折腾过 不清楚
回复
举报
cnlhx
cnlhx
当前离线
积分
26086
发表于 2023-6-30 02:02:03
|
显示全部楼层
我用ros分流,国内对接mosdns+adghome,国外直接分流到openclash+第二个adghome
回复
举报
DogeLee2
DogeLee2
当前离线
积分
27130
发表于 2023-6-30 02:13:32
来自手机
|
显示全部楼层
我自建就一两个节点,没必要用clash
回复
举报
wuxudd
wuxudd
当前离线
积分
42409
发表于 2023-6-30 06:01:53
|
显示全部楼层
规则正确的话,fake IP不会有DNS泄漏
回复
举报
天蝎戴维哥
天蝎戴维哥
当前离线
积分
2505
发表于 2023-6-30 06:33:41
|
显示全部楼层
https://www.right.com.cn/forum/thread-8293938-1-1.html 目前用这个绕过大陆模式,没啥问题
回复
举报
伴之则安
伴之则安
当前离线
积分
5478
发表于 2023-6-30 06:54:56
|
显示全部楼层
有点技术难度
1c512m20g 3T $10.99/year
1c512m10g 1.5T $10.18/year
1c840m10g 1T $10.78/year
DMIT.IO
WISE
瓦工2c1g20g 1T $49.9/year
回复
举报
hostvps
hostvps
当前离线
积分
19799
发表于 2023-6-30 07:12:48
来自手机
|
显示全部楼层
怕dns泄露就应该全局
回复
举报
mizon
mizon
当前离线
积分
19134
发表于 2023-6-30 08:47:41
|
显示全部楼层
世界本无事,庸人自扰之
点评
在7楼
所以年付的六毛机能删机重建吗?
发表于 2023-6-30 10:32
回复
举报
Residual
Residual
当前离线
积分
5883
发表于 2023-6-30 08:49:16
|
显示全部楼层
建议用这个
https://songchenwen.com/tproxy-split-by-dns
主路由直接套用就行了, 目前我用的感觉还行
回复
举报
下一页 »
1
2
3
/ 3 页
下一页
返回列表
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
注册
本版积分规则
发表回复
回帖后跳转到最后一页
Archiver
|
手机版
|
小黑屋
|
MJJ论坛
Copyright
MJJ论坛
© 2022 All Rights Reserved.
快速回复
返回顶部
返回列表