openclash 如果开全局代理大陆直连,是不是会暴露。

2024-03-17 23:32:35 +08:00
 NoInternet

大佬们,问个问题,如果 openclash 的规则写 省略了 rule-providers 部分,有个 cncidr 的 ip 规则集和直连的 domain 规则集。 rule 规则

4639 次点击
所在节点    宽带症候群
31 条回复
mschultz
2024-03-17 23:42:25 +08:00
在任何 CIDR 规则之前先把(主流的需要代理的)国外网站用域名规则匹配,这样(至少提前被域名匹配的这部分网站)不会触发本地 DNS 查询导致 DNS Leak ,可以部分解决问题

例如

- RULE-SET,gfwlist,PROXY,no-resolve
- RULE-SET,cncidr,DIRCET
- MATCH,PROXY
journalist
2024-03-18 04:12:44 +08:00
是的。只要遇到 IP 规则且没有 no-resolve ,就会向 DNS 上游发出请求。总体上应当先写域名规则,再写 IP 规则。
Jirajine
2024-03-18 07:21:47 +08:00
又一个 clash 的受害者。
这是 clash 系默认、惯常的行为,小白用户不懂也没有被明确告知。
SenLief
2024-03-18 07:37:48 +08:00
你可以选择 dns 上游直接用国外的 dns ,就是慢了点。
465456
2024-03-18 07:59:56 +08:00
速度跟隐私,二者选一个,俺选择速度
CharonVIII
2024-03-18 09:28:58 +08:00
你用的是 redir-host 还是 fake-ip ?
据我所知,如果用的 redir-host ,在匹配到域名规则走代理之前也会进行一次 DNS 解析,这是必须的。

而 fake-ip 规则虽然也会先进行一次 DNS 查询,只不过 clash 内核会返回一个保留地址,然后如果匹配到域名规则要走代理的话就不会进行真正的本地 DNS 查询。

当然,fake-ip 模式也有其他的问题,比如 P2P 受限制、VPN 业务可能受限制、没办法在 Dnsmasq 下用黑白名单等等
dude4
2024-03-18 10:31:47 +08:00
这就是通常说的 DNS 泄露
dude4
2024-03-18 10:34:14 +08:00
@CharonVIII 新版本的 openclash 据说没有原生的 redirect 模式了,都是 fake-ip ,我觉得全局用对普通用户确实太困难,还是旁路由比较好,dnsmasq 在主路由用 mac 方式指定网关,有需要的设备才走旁路由,这样 P2P 不走旁路由、VPN 在主路由,两者都不受影响
NoInternet
2024-03-18 12:28:12 +08:00
@mschultz no-resolve 我看一般都写在 IP 规则里啊。我试试
NoInternet
2024-03-18 12:28:51 +08:00
@Jirajine 太复杂了,看来还得好好研究
NoInternet
2024-03-18 12:30:07 +08:00
@CharonVIII 用的 redir-host ,规则里匹配的也要先走本地 dns 解析一次?这也太坑了。
NoInternet
2024-03-18 12:39:46 +08:00
@SenLief 我还不会设置,我要再看看
NoInternet
2024-03-18 12:40:08 +08:00
@465456 兼得最好啊
mschultz
2024-03-18 13:26:45 +08:00
@NoInternet #9 找一个类似 gfwlist 的在线规则,作为 rule-provider 最好支持 behavior: “domain” 的,可以不写 no-resolve

现在 GitHub 上用的人比较多的那些规则好像大多都考虑到这个问题了。国外网站一般都是域名规则,不会随便包含无“no-resolve”标记的 IP 规则
dodakt
2024-03-18 19:02:11 +08:00
实在不放心 开个 Adguard Home 把 gfwlist 屏蔽掉不就 ok 了
NoInternet
2024-03-18 19:11:23 +08:00
@dodakt 又出现高科技了,这个不是去广告的吗
dodakt
2024-03-18 19:21:06 +08:00
@NoInternet 它去广告原理不就是拦截解析嘛
MrKrabs
2024-03-20 01:27:02 +08:00
我想问问有空统计你 dns 记录干嘛不直接看你出口流量啊、、
y1y1
2024-03-20 10:27:32 +08:00
就是从前往后优先匹配
unifly
2024-03-21 09:24:49 +08:00
@Jirajine 真是有 clash 的地方就有你啊,ip 类规则加上 no-resolve ,不进行 DNS 解析防止泄露,这是必要操作,任何研究过 clash 规则的都知道,何来受害一说?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://yangjunhui.monster/t/1024536

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX