终极的分流策略

我现在的实现是这样的：
基础的还是白名单+ip 分流+自建递归
+黑名单直接用 1111 解析的
然后每天在 gww （宽带出口）上收集来自递归服务器的访问 udp 53 端口的请求
夜里解析这些域名，然后动态扩充白名单。

这些累积的白名单目前是 3 个月校对一次

基本逻辑还是那个：有任何一层权威在墙内的就算墙内域名。
实际上遇到过的问题：有些域名在 dnspod 或者 ali 上，但是只能通过海外访问，这些就得手工配置了……

@maybeonly
自动扩充域名列表我是直接在 mosdns 配置 lazy_cache （过期缓存/分流结果）并永久保存来实现的，家庭使用，目前的条目数没超过 2 万条，mosdns 处理这点数据是没有压力的，其它方案规则数据量多了，不知道效率如何。

我目前域名基本上都是自动处理，极少需要（基本没有）手动添加规则，不明白你说的只能海外访问的域名是哪类，像这种吗？ https://www.fx168news.com/

现在不少国外域名使用的 cdn ，在国内有了节点，直接访问速度比代理不知道高到哪里去了。
但是呢，这个国内节点你得使用运营商的 dns 才能解析到。而且这个国内节点不是电信联通移动都能解析并访问，可能只有其中一两家能访问，其他运营商还是得访问国外的 cdn 节点，这样还是得走代理，否则慢得不能接受。
就这个情况，要自己一个人不断维护不太现实。因为大家使用的运营商不一样，相同运营商南方北方还不一样，也就杜绝了共同维护一份的可能。
以上情况和墙完全没关系，纯纯就是访问速度带来的分流问题了，没有能解决的方案

@wm5d8b 是必须运营商的 dns ，还是说只要国内主流 dns 就可以，有例子吗？

纯 IP 的例子很多
1. telegram
2. 软件内建的 httpdns

@Goooooos 我主帖说了纯 IP 特殊处理，目前已知的是国外 dns ip 、电报 ip 、奈飞安卓 tv 端 ip ，其它暂时没发现； httpdns 知道了也管不了，也不用管。

目前我的 dns 是这样实现的
1：广告域名拦截
2：国外黑名单走 fakeIP
3：国内白名单走运营商 dns 查询
4：其它域名先走运营商 dns 查询，结果如果不匹配国内 IP 再走 fakeIP
设定 fakeIP 持久化 ttl 为 10 秒

@lw4free 棒，咱俩一样，说分流的事儿，我就没在主帖中提 fakeip ，我 fakeip ttl 是 1 秒，理论上不持久化也行，不过还是持久化的好，要不然安卓 tv 看奈飞会转圈。

@likai #37 你这种情况，应该是漏掉哪个域名加白名单了

@yyysuo nkvod com ，正常可访问，一上分流就打不开了

@lw4free #47 要自己配这一串任务流有什么教程可以下看吗？

@likai 加了白名单是可以的，确实屏蔽了代理访问。
nkvod.com 2406:da18:2d6:bf00:6957:2a07:7286:c0ac
hm.baidu.com 2408:871a:2100:10ea:0:ff:b011:69
media-gslz-fy-home.gs7oss.ctyunxs.cn 240e:935:a04:1001::3
pic.rmb.bdstatic.com 2408:8726:7000::3cdd:1223
qb.xn--it-if7c19g5s4bps5c.com 121.62.31.111

@likai 可能某些撸了免费 cf 节点的机场也能看。

@sicifus 我是使用 routedns 作为 dns 分流和改变 ttl sing-box 实现 tun 模式下的代理和 fakeIP 的持久化
mosdns 可以实现 routedns 同样的功能
sing-box 基于 TProxy 模式也能实现 但不能基于其他入站方式例如 socks 否则 dns 分流就不起效了
sing-box 的内置 dns 功能不能实现功能 4dns 查询后再匹配 使用 xray 应该可以实现所有功能 不过好像不能 fakeIP 持久化和改变 ttl 不是那么理想

@lw4free sing-box 可以的
"dns": {
"servers": [
{
"tag": "google",
"address": "https://8.8.8.8/dns-query",
"detour": "♻️ 自动选择"
},
{
"tag": "local",
"address": "202.102.213.68",
"detour": "DIRECT"
},
{
"tag": "ban",
"address": "rcode://success"
},
{
"tag": "remote",
"address": "fakeip"
}
],
"rules": [
{
"outbound": "any",
"server": "local"
},
{
"clash_mode": "Direct",
"server": "local"
},
{
"clash_mode": "Global",
"server": "google"
},
{
"rule_set": "ads",
"domain_suffix": [
"pcmanager.microsoft.com",
"officeplus.cn",
"scorecardresearch.com",
"nelreports.net"
],
"server": "ban",
"disable_cache": true
},
{
"rule_set": [
"geosite-geolocation-cn",
"playstation"
],
"domain_suffix": [
"myds.me",
"dynv6.net",
"dynv6.com",
"asuscomm.com"
],
"server": "local"
},
{
"type": "logical",
"mode": "and",
"rules": [
{
"rule_set": "geosite-geolocation-!cn",
"invert": true
},
{
"rule_set": "cnip"
}
],
"server": "google",
"client_subnet": "114.114.114.114/24"
},
{
"query_type": [
"A",
"AAAA"
],
"server": "remote"
}
],
"fakeip": {
"enabled": true,
"inet4_range": "198.18.0.0/15",
"inet6_range": "fc00::/18"
},
"reverse_mapping": true,
"independent_cache": true
},

@yyysuo
不会吧.你那边能正常访问?
我用我自己网上改的和你上面 1119 压缩包里的都不能访问.

@likai 自己在 whitelist.txt 中添加上这个域名，你上面不是说加了白名单也不能访问吗，默认确实不能访问，因为这个站只允许大陆 IP ，这个是规则无法判断的。

whitelist 加了这个网址的,
cname 那个域名也加了,
奇怪了.

这不是我老早发过的吗？参考我的配置了吧？哈哈

@yyysuo 刚看了 确实可以了 在 1.9.0 之后添加了地址筛选字段 等有空在手机上测试一下 你使用的 logical 模块我一直没搞懂原理和作用