OpenClash 是如何知道请求的域名是什么的?

273 天前
 donnieYeh

使用 openclash 代理路由器中的请求,此时 openclash 是如何知道请求的域名是什么的? 我一台电脑请求某个网站,浏览器直接先请求 DNS 解析完域名,得到了 IP ,再丢给路由器,此时路由器层面不是只能拿到 ip 吗,那匹配域名的规则又是如何生效的呢?请大佬们帮忙解惑一下

3308 次点击
所在节点    宽带症候群
27 条回复
lxtyr
273 天前
dnsmasq 了解一下
tony1016
273 天前
如果你是浏览器代理,则浏览器会发送域名到代理;如果你是 TUN ,则强奸着你的 DNS 访问
scegg
273 天前
clash 与 meta 的方式不同。openclash 只是个壳。你得明确一下是哪种先。

clash 用的是 fakeip ,meta 用的是 SNI 嗅探。
long1and
273 天前
如果 OP 是像我一样,自建了另一个 DNS 解析服务器,不使用 openclash 的 dns 解析服务,那 openclash 的域名规则是不生效的。clash 的 dns 解析和代理是分开的。
misaka19000
273 天前
因为你解析 dns 的请求被它拦截了
yunyuyuan
273 天前
如果按照你说的,那 openclash 并不知道请求的域名是什么,看看日志就知道了。正确设置是电脑的 dns 设置为路由器,路由器 dnsmasq 再转到 clash 的 dns
MeteorVIP
273 天前
因为是浏览器告诉他的
AoEiuV020JP
273 天前
所以用 fakeip ,更准,简单说就是拦截所有 dns 请求,都返回一个个假的 ip ,下次收到 ip 请求就知道域名了,
反过来终端这边开 doh/dot 之类的话 openclash 日志就只能看到一堆 ip 了,
donnieYeh
273 天前
@lxtyr 多谢指点,我看了下 dnsmasq 算是路由器系统层面的 dns 代理,经过梳理,代理流程可以理解为:

1 。解析 DNS: 浏览器 -> 路由器 -> dnsmasq -> openclash -> 上游 DNS 服务器
2 。请求网页:浏览器(这次只会提供 IP ) -> 路由器 -> openclash

除非说 openclash 会缓存 ip 和域名的关系,不然在第 2 步也没法获取到域名,从而执行域名匹配规则。这块还是比较模糊
donnieYeh
273 天前
@tony1016
抱歉我没说清楚,就是我用的软路由进行代理,openclash 是装在路由器,而不是装在电脑本机

@scegg
我看了一下,我的配置里没有勾选“使用 Meta 内核”,按你的意思,我说的这种场景用 redir-host 模式不就没法正常匹配域名了吗
tutou
273 天前
建议油管上看几个视频就明白了,有几个 up 主讲的和上课一样
lsdsjy
273 天前
https://blog.skk.moe/post/what-happend-to-dns-in-proxy/ 可以参考这篇文章

如果我理解得没错,设置了代理之后浏览器不一定会把解析 DNS 和请求网页拆成两个独立的步骤,而是全部交给本地的代理服务器
jujusama
273 天前
重定向 53 到监听的 dns 端口,不拦截的话只能 SNI 嗅探
scegg
273 天前
@donnieYeh
clash 不支持 redir-host 。
donnieYeh
273 天前
@scegg
我也发现了,感谢指点,已经搞清楚了
xiaooloong
273 天前
客户端挂了正向代理的情况,会直接把域名和端口交给代理服务器去连接
透明代理有两种情况。
第一种情况,clash 维护一个 dns-ip 映射表,客户端请求 dns 时 clash 记录了这个表的关系,等到目标 ip 的流量进来再反查这个表就可以知道域名了
第二种情况就比较简单了,tls 协议 client hello 里面一般都会有 sni 表示连接的域名,方便 server hello 的时候发对应域名的证书给客户端。
yaott2020
273 天前
如果你选择 tproxy/tun ,你不是和远程服务器建立连接,而是先和 clash 建立连接,并且 clash 会嗅探第一个包,看看是什么协议,tls/http/quic 还是其他的,如果匹配到了,就可以根据域名分流,否则只能 ip 分流。
yaott2020
273 天前
如果你使用 fake-ip ,那么 clash 会在你查询 dns 的时候就建立好了 ip--域名的映射关系,流量一过,直接就可以知道
yaott2020
273 天前
如果你使用 socks5/http 代理,代理协议会直接把域名发送到远程,无需嗅探就可以知道
liofoil
272 天前
@donnieYeh 标准的 clash 内核无论 fakeip 和 redir-host 会缓存 dns 和域名的映射的,并不是会执行嗅探。
clash 自己作为一个 dns 服务器,设置为 dnsmasq 的上游,有 dns 请求过来,dnsmasq 给到 clash ,clash 向自己配置文件里设置的 dns 查询域名对应 ip ,并建立映射表。
1 ) redirhost 直接把查到的 ip 给设备,设备按照这个 ip 发起连接,clash 反推域名分流,向代理服务器发起请求的时候不带域名,因此代理服务器看到的是 ip ,这是为了防止多个域名解析到同一个 ip 导致 clash 反推失败,但正因为请求的是 clash 自己本地查到的 ip ,所以会有几率出现 dns 污染或者 cdn 不匹配的情况。
2 ) fakeip 则是返回一个假的 ttl 很短的 ip 给设备,设备按照这个 ip 发起连接,clash 反推域名,并且直接请求这个域名,代理服务器拿到的是域名,这样可以避免 dns 污染,但是一些基于 udp 的服务会变得不正常,尤其是部署在路由器级别的设备上时,fakeip 的兼容性不是很理想。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/964066

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX