openclash 如果开全局代理大陆直连,是不是会暴露。

52 天前
 NoInternet

大佬们,问个问题,如果 openclash 的规则写 省略了 rule-providers 部分,有个 cncidr 的 ip 规则集和直连的 domain 规则集。 rule 规则

3313 次点击
所在节点    宽带症候群
31 条回复
mschultz
52 天前
在任何 CIDR 规则之前先把(主流的需要代理的)国外网站用域名规则匹配,这样(至少提前被域名匹配的这部分网站)不会触发本地 DNS 查询导致 DNS Leak ,可以部分解决问题

例如

- RULE-SET,gfwlist,PROXY,no-resolve
- RULE-SET,cncidr,DIRCET
- MATCH,PROXY
journalist
52 天前
是的。只要遇到 IP 规则且没有 no-resolve ,就会向 DNS 上游发出请求。总体上应当先写域名规则,再写 IP 规则。
Jirajine
52 天前
又一个 clash 的受害者。
这是 clash 系默认、惯常的行为,小白用户不懂也没有被明确告知。
SenLief
52 天前
你可以选择 dns 上游直接用国外的 dns ,就是慢了点。
465456
52 天前
速度跟隐私,二者选一个,俺选择速度
CharonVIII
52 天前
你用的是 redir-host 还是 fake-ip ?
据我所知,如果用的 redir-host ,在匹配到域名规则走代理之前也会进行一次 DNS 解析,这是必须的。

而 fake-ip 规则虽然也会先进行一次 DNS 查询,只不过 clash 内核会返回一个保留地址,然后如果匹配到域名规则要走代理的话就不会进行真正的本地 DNS 查询。

当然,fake-ip 模式也有其他的问题,比如 P2P 受限制、VPN 业务可能受限制、没办法在 Dnsmasq 下用黑白名单等等
dude4
52 天前
这就是通常说的 DNS 泄露
dude4
52 天前
@CharonVIII 新版本的 openclash 据说没有原生的 redirect 模式了,都是 fake-ip ,我觉得全局用对普通用户确实太困难,还是旁路由比较好,dnsmasq 在主路由用 mac 方式指定网关,有需要的设备才走旁路由,这样 P2P 不走旁路由、VPN 在主路由,两者都不受影响
NoInternet
52 天前
@mschultz no-resolve 我看一般都写在 IP 规则里啊。我试试
NoInternet
52 天前
@Jirajine 太复杂了,看来还得好好研究
NoInternet
52 天前
@CharonVIII 用的 redir-host ,规则里匹配的也要先走本地 dns 解析一次?这也太坑了。
NoInternet
52 天前
@SenLief 我还不会设置,我要再看看
NoInternet
52 天前
@465456 兼得最好啊
mschultz
52 天前
@NoInternet #9 找一个类似 gfwlist 的在线规则,作为 rule-provider 最好支持 behavior: “domain” 的,可以不写 no-resolve

现在 GitHub 上用的人比较多的那些规则好像大多都考虑到这个问题了。国外网站一般都是域名规则,不会随便包含无“no-resolve”标记的 IP 规则
dodakt
52 天前
实在不放心 开个 Adguard Home 把 gfwlist 屏蔽掉不就 ok 了
NoInternet
52 天前
@dodakt 又出现高科技了,这个不是去广告的吗
dodakt
52 天前
@NoInternet 它去广告原理不就是拦截解析嘛
MrKrabs
50 天前
我想问问有空统计你 dns 记录干嘛不直接看你出口流量啊、、
y1y1
50 天前
就是从前往后优先匹配
unifly
49 天前
@Jirajine 真是有 clash 的地方就有你啊,ip 类规则加上 no-resolve ,不进行 DNS 解析防止泄露,这是必要操作,任何研究过 clash 规则的都知道,何来受害一说?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1024536

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX