V2EX 11小时前
[宽带症候群] 为什么在 mihomo 中配置所有直连使用阿里云/腾讯云加密 DNS 还会在 ipleak.net 看到运营商呢?
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html

 

本文分享了博主因域名访问记录泄露导致错过抢票的经历,进而深入研究DNS配置优化的过程。文章详细分析了DNS配置,包括直连和代理情况下的DNS服务器选择问题,以及如何通过配置`nameserver-policy`、`direct-nameserver`等参数,实现针对不同域名流量的DNS解析策略。通过对DNS配置的优化,旨在解决DNS泄露问题,提升网络使用的安全性,并避免类似错过抢票的事件再次发生。

🧐 **问题溯源:** 博主因域名访问记录泄露,导致错过了抢票机会,从而引发了对DNS配置的深入研究。

🌐 **配置概览:** 文章展示了博主当前的DNS配置,主要使用了`enable`、`cache-algorithm`、`prefer-h3`等基础设置,并配置了`default-nameserver`、`proxy-server-nameserver`、`direct-nameserver`等不同类型的DNS服务器。

💡 **关键策略:** 通过`nameserver-policy`参数,博主实现了针对国内域名使用国内DNS(如阿里DNS、DNSPod),其他域名则使用代理服务器的DNS的策略,以提高网络安全性和访问效率。

🚦 **直连优化:** 配置`direct-nameserver-follow-policy: true`,使直连流量也遵循`nameserver-policy`规则,进一步提升了DNS配置的灵活性和安全性。

🛡️ **Fake-IP设置:** 启用了`enhanced-mode: fake-ip`,并配置了`fake-ip-range`和`fake-ip-filter`,用于伪造IP地址,过滤特定域名,增强隐私保护。

前几天被拿着一条我完全没印象的域名访问记录找上门了,导致错过了 blibili world 抢票。

因为是域名,所以怀疑是 DNS 泄露被记录造成的,于是开始研究 DNS 配置,目前的配置在使用代理时是没有问题的,都是节点所在地的 DNS 服务器,但是直连完全看不到阿里和腾讯,全是运营商。

dns:  enable: true  cache-algorithm: arc  prefer-h3: true  use-hosts: true   # 启用 respect-rules ,让 DNS 查询遵循路由规则  respect-rules: false  listen: 0.0.0.0:53  ipv6: true  # 用于解析下方国内加密 DNS  default-nameserver:    - tls://223.5.5.5    - tls://1.12.12.12    - tls://[2400:3200::1]    - tls://[2400:3200:baba::1]  # 用于解析代理服务器的域名  proxy-server-nameserver:    - https://dns.alidns.com/dns-query#h3=true    - https://dns.alidns.com/dns-query    - https://doh.pub/dns-query    # 用于解析直连流量的域名  direct-nameserver:    - https://dns.alidns.com/dns-query#h3=true    - https://dns.alidns.com/dns-query    - https://doh.pub/dns-query  # 用于解析国内域名的 DNS  nameserver-policy:    # 国内域名 - 使用国内 DNS (阿里 DNS 、DNSPod )    "geosite:cn":       - https://dns.alidns.com/dns-query#h3=true      - https://dns.alidns.com/dns-query      - https://doh.pub/dns-query    # 其他域名 - 使用代理服务器的 DNS  nameserver:    - quic://1.1.1.1    - quic://1.1.1.1#Proxy    - tls://8.8.8.8    - tls://8.8.8.8#Proxy    - tls://1.1.1.1    - tls://1.1.1.1#Proxy  direct-nameserver-follow-policy: true  # 让直连流量也遵循 nameserver-policy 规则  enhanced-mode: fake-ip  fake-ip-range: 198.18.0.1/16   fake-ip-filter:    - "www.miwifi.com"    - "*.lan"    - localhost.ptlogin2.qq.com    - "*.msftconnecttest.com"    - "*.msftncsi.com"    - "*.srv.nintendo.net"    - "*.stun.playstation.net"    - xbox.*.microsoft.com    - "*.xboxlive.com"    - speedtest.cros.wr.pvp.net    - "*.logon.battlenet.com.cn"    - "*.logon.battle.net"    - "*.blzstatic.cn"    - "*.homekit.home.arpa"    - "*._tcp.local"    - "*._udp.local"    - stun.*.*    - stun.*.*.*    - time.*.com    - time.*.gov    - time.*.edu.cn    - time.*.apple.com    - time-ios.apple.com    - ntp.*.com    - ntp1.*.com    - ntp2.*.com    - ntp3.*.com    - ntp4.*.com    - ntp5.*.com    - ntp6.*.com    - ntp7.*.com    - "*.time.edu.cn"    - "*.ntp.org.cn"    - "*.music.163.com"    - "*.126.net" #   - "*.mcdn.bilivideo.cn"

Fish AI Reader

Fish AI Reader

AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。

FishAI

FishAI

鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑

联系邮箱 441953276@qq.com

相关标签

DNS 域名 安全 配置
相关文章