这是一个创建于 101 天前的主题,其中的信息可能已经有所发展或是发生改变。
使用 shellcrash 默认的规则,访问 ipleak.net 有很多 cn 的 DNS 。
手机的规则是没有泄漏的,但不能应用到路由的 shellcrash ,有哪位能提供一个没有泄漏 dns 的规则吗?
36 条回复 • 2025-10-15 21:56:13 +08:00
 |
1
LongLights 2025 年 10 月 7 日
crash 要启用高级自定义配置 把 dns 规则写在 user.yaml 里
|
|
2
LongLights 2025 年 10 月 7 日
@LongLights 在这里面定义 dns 的 nameserver-policy ,只允许 cn 走本地 dns 。但是这个“防泄漏”操作意义不大,具体可以参考下我之前的帖子
|
 |
3
kealm 2025 年 10 月 7 日
开启了嗅探吗?
|
 |
4
SenLief 2025 年 10 月 7 日
管它干啥
|
 |
5
mezi04 2025 年 10 月 7 日
dns:
enable: true enhanced-mode: redir-host cache-algorithm: arc fake-ip-filter: - "geosite:cn" - "geosite:private" fake-ip-range: 198.18.0.1/16 direct-nameserver: - system # 修复部分直连数据被国外 dns 分配不合适的 ip proxy-server-nameserver: - https://223.5.5.5/dns-query nameserver-policy: "geosite:cn,apple": system 'geosite:category-ads-all': 'rcode://success' "geosite:!cn": - "tls://8.8.4.4#RULES" - "tls://1.1.1.1#RULES" |
 |
6
qiuyue0 2025 年 10 月 7 日
不用管,对上网没影响
|
 |
7
xmhpqqph01 2025 年 10 月 7 日
shellcrash 沒玩過,旁路用 openwrt 的 openclash fakeip+mosdns 無腦設置完美解決!
|
 |
8
july1995 2025 年 10 月 7 日
一直没搞明白 这个 dns 泄露就咋了? 有什么影响吗?
|
 |
9
Lightbright 2025 年 10 月 8 日
@july1995 #8 会让 gfw 知道你在翻墙,仅此而已
|
 |
10
muhahaha 2025 年 10 月 8 日
@Lightbright 感觉就算不泄露,GFW 也能知道翻墙,所以感觉意义不大呢
|
|
11
Lightbright 2025 年 10 月 8 日
@muhahaha #10 程度不同,不泄露最多只能知道翻墙的行为,泄露了具体的网站也能被看到,至于威胁程度多大,这是个玄学问题
|
 |
12
zztom OP @mezi04 能用!!!nb ,非常感谢!!我搞了几个小时都没弄好!
@LongLights 非常感谢!解决了 @muhahaha @LongLights +1 一个是知道翻墙,一个知道是翻墙哪个网站。搞不好就收到短信了。 再次感谢大家! |
|
13
zztom OP @mezi04 奇怪,有个问题就是我的 mac studio 上面,检测是没有泄漏的,但是我 iPhone 上面检测是有泄漏的。连的是同一个 Wi-Fi 。
|
 |
14
AEnjoyable 2025 年 10 月 8 日 via Android
我是在墙内的服务器上搭了个 adg ,在 adg 那做好 dns 规则。。然后让 clash 所有的 dns 查询指向 adg
|
|
15
mezi04 2025 年 10 月 8 日 via iPhone
@zztom 手机开代理软件后检测有,还是不开有?代理软件有些直连也可能不会用 dhcp 分配的 dns ,要单独设置。以不开代理软件的为准
|
 |
17
rev1si0n 2025 年 10 月 8 日
买的旁路由装了 openwrt openclash shellcrash 最终发现都不是很适合自己的使用情况要不就是太难用了,最后直接旁路由装了 mihomo chinadns dns-crypt 然后在路由器上设置为网关和 DNS ,最后 ipv6 ra ,通通搞定,没有一点泄漏,再不放心华硕路由器自带 dns 重定向再套一层。
|
 |
18
avrillavigne 2025 年 10 月 8 日
@july1995 #8 美团 IP 定位 点外卖把你梯子定位了
 |
 |
19
People11 2025 年 10 月 8 日
@Lightbright 能把具体流程说来听听吗?
|
|
20
People11 2025 年 10 月 8 日 via Android
DNS 泄漏具体的表现是国外网站走国内 DNS 解析,但是解析被墙的网站如果是走 UDP 53 的话直接被运营商抢答污染了,后续也不太可能将你和中转的连接联系到一起,使用 fakeip 或者加密 DNS 也就不会出现这个问题。所以我是挺好奇 DNS 泄漏导致 GFW 知道你在翻墙这个过程具体是怎么样的。
|
|
21
People11 2025 年 10 月 8 日 via Android
再加上楼主访问的各种 DNS leak 测试网站实际上测试的是地理位置隐藏,网站自建权威 DNS 服务器,然后生成随机域名让你解析,请求到网站的权威 DNS 服务器后网站就可以知道是哪里的 ISP 在请求解析,这样就暴露了位置。但是我们的场景的目标是抗封锁而不是匿名性,所以 DNS 泄漏对翻墙这种场景下我一直认为是无关紧要的。
|
|
22
Lightbright 2025 年 10 月 8 日
@People11 这个问题都要被讨论烂了,有人认为有问题,有人就是认为无所谓的。。
我们假设你访问了一个**超级敏感**的网站,但是却通过境内 dns 发起了一次查询,不管是明文的也好加密的也好(现在境内已经没有可用的境外加密 dns 了),此时当局完全有能力把你找出来的,况且此前泄露的文件也表明 gfw 是分布式部署的,泄露给运营商基本可以等同于泄露给 gfw 。 我个人觉得,既然可以通过客户端简单设置完全规避这个风险,那何乐而不为。 至于 fakeip ,这玩意制造的问题比解决问题还多 |
 |
23
bavtoex 2025 年 10 月 8 日
|
|
24
Lightbright 2025 年 10 月 8 日
@bavtoex #23 这种建议按照进程( APP )绕过整个国内软件
|
|
25
People11 2025 年 10 月 8 日 via Android
@Lightbright 所以我想表达的意思就是,楼主凭借那些 DNS Leak 网站去判断自己是否 DNS 泄漏是不合理的,人家是检测你的匿名性,而我们翻墙目标是隐私性。对于你提到的场景,泄漏不泄漏还是要看规则本身而不是什么 DNS Leak 网站。有可能楼主的 DNS 规则已经处理了所有被墙的网站,所以就没有处理那些没被墙的 DNS Leak 网站,导致直连 DNS 解析被检测到。
|
|
26
People11 2025 年 10 月 8 日 via Android
@Lightbright 假如机场的 DNS 配置已经是「所有被墙的/被污染的/危险的网站都走境外加密 DNS ,只有没被墙的/国内的/安全的网站走国内 DNS 」,那么假如某个 DNS Leak 网站属于后者,自然也就测出来泄漏了,但是这种泄漏对于翻墙本身的目标来说是无关紧要的。并且如果你坚持所有 DNS 请求都要走境外,那节点域名的解析怎么搞?你要走国内解析就又绕回到 GFW 知道你在翻墙的情况了。
|
|
28
People11 2025 年 10 月 8 日 via Android  2
@bavtoex 我更喜欢 geosite 和 geoip ,再加上地区限定相关规则,因为一个境外网站就算没被墙,由于 CDN/服务器环大陆部署,速度也好不到哪去,不如到境外的请求一律走代理加速
|
|
29
Lightbright 2025 年 10 月 8 日
@People11 #25
1.你不能把 dns 泄露的测试域名加到规则里然后说我不泄露了,这和某些手机针对跑分软件做优化有什么区别。 2.你无法列出所有的被墙网站,gfw 是黑箱,网上的 gfwlist 只能说覆盖了大部分。 3.我没有坚持所有 DNS 请求都要走境外,国内域名走境内并无不妥。 4.节点域名并不是什么特别高危的域名。 |
 |
30
ryougifujino 2025 年 10 月 8 日
DNS 泄漏一两句话说不清楚,有一些误区
1. 并不是说泄漏了就一定有问题,一个合理的规则有一些泄漏是很正常的 2. 不是说用了 fake-ip 就不会泄漏,也不算说用了 fake-ip 泄漏了就有问题 3. 正常来说域名规则和 no-resolve 的 ip 规则靠前,resolve 的 ip 规则靠后,使用 fake-ip 模式,尽量把你不想泄漏 DNS 的域名规则补齐,这样就可以达成比较完美的状态。 |
|
31
People11 2025 年 10 月 8 日 via Android
@Lightbright 我同意你的观点,dns 泄露的测试域名加到规则里不等于不泄漏,但同样的,dns 测试网站说你泄漏了你也不是真的泄漏(特别是测试的目标就不同,翻墙泄不泄漏是要看规则的),所以我认为楼主这样测试后的担忧是杞人忧天,真正有可能导致问题的泄漏机场自己的规则基本都给你处理好了
|
|
32
People11 2025 年 10 月 8 日 via Android
@Lightbright 虽然 gfwlist 不是覆盖全部,但有个规则叫漏网之鱼,并且在流行的 acl4ssr (虽然很过时)里是默认走代理的,只要不是又菜又爱玩的小白把它调到直连那基本不会有什么问题
|
 |
33
crysislinux 2025 年 10 月 8 日 via Android 1
针在意这个就白名单好了,国内的域名白名单,走国内解析,没命中的全部走 Google DNS ,加上 ecs 基本上还是能得到一个比较近的结果
|
 |
34
GK100 2025 年 10 月 9 日
出问题的从来不是什么技术上的好坏
是人的行为 |
 |
36
gianni238 2025 年 10 月 15 日
长城防火墙都弄了十几年了,还在掩耳盗铃。唉,真搞不错。真上个 e-sim 卡都让人哭笑不得
|
Select Language