这是一个创建于 2277 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://github.com/muziling/dnsmasq-chnroute
配置举例:
no-resolv
all-servers
server=114.114.114.114,0
server=8.8.8.8,1
chnroute-file=/root/chnroute.txt
让 dnsmasq 发送 DNS 请求到所有 dns,dns ip 后面逗号 0 表示被污染不可信,1 表示干净的。
如果不可信的 DNS 解析到 IP 为在 chnroute.txt 里,则接受,否则抛弃
如果可信的 DNS 解析到 IP 为在 chnroute.txt 里,则抛弃,否则接受
这样可以保证访问国内网站不会跑到国外去。
补充一下:补丁是基于 2.79 版本
配置举例:
no-resolv
all-servers
server=114.114.114.114,0
server=8.8.8.8,1
chnroute-file=/root/chnroute.txt
让 dnsmasq 发送 DNS 请求到所有 dns,dns ip 后面逗号 0 表示被污染不可信,1 表示干净的。
如果不可信的 DNS 解析到 IP 为在 chnroute.txt 里,则接受,否则抛弃
如果可信的 DNS 解析到 IP 为在 chnroute.txt 里,则抛弃,否则接受
这样可以保证访问国内网站不会跑到国外去。
补充一下:补丁是基于 2.79 版本
第 1 条附言 · 2018-08-24 22:32:25 +08:00
google 有些域名会解析到国内 IP,还是需要对这些域名进行指定。要不 手机上的 google play 用不了
第 2 条附言 · 2018-08-31 00:13:46 +08:00
services.googleapis.cn 这个地址走 8.8.8.8 解析就可以使用 google play,要不解析到 google 的国内服务器,安卓的 google play 就会提示检索失败
 |
1
weyou 2018-08-22 21:46:40 +08:00 via Android
为什么不用 ChinaDNS ?
|
 |
2
TheKiller 2018-08-22 21:57:38 +08:00
我选择 Pcap_DNSProxy https://github.com/chengr28/Pcap_DNSProxy
|
 |
3
muziling OP |
 |
4
missdeer 2018-08-23 09:15:17 +08:00
这策略有问题吧,好像现在有的污染 IP 是国内 IP
|
 |
5
EricInBj 2018-08-23 09:21:35 +08:00
|
|
6
muziling OP @missdeer 暂时没碰到,不知道有哪些?
@EricInBj 有时直接在 chrome 地址栏输入要搜索的内容, 每次要先输入 google.com/ncr 再搜索,总是多了一步。 还有 privoxy.org 之类的也是墙的,不知道是不是我的列表太旧了,这个也不在里面。 不想每次访问不了都去检查列表。 |
|
7
TheKiller 2018-08-23 11:25:41 +08:00
|
 |
8
Actrace 2018-08-23 15:09:59 +08:00
这样这个 dnsmasq 只能在国内运行了。。如果想放在海外机器上运行,正好需要一个相反的规则设定。
|
 |
10
Kobayashi 2018-08-23 17:40:25 +08:00 via Android
麻烦稍微详细解释一下,针对不可信 DNS 和可信 DNS 判断的优先级,如果不可信 DNS 返回了国内 IP 且可信 DNS 返回了国外 IP,这种情况怎么处理?
另外,不应该同时对不可信、可信 DNS 返回的结果进行判断,这相当于开启了 ChinaDNS 的双向过滤。而关于双向过滤,ChinaDNS 作者曾经说过,是给特殊网络情况的人用的,不要开启。 |
|
11
Actrace 2018-08-23 18:09:17 +08:00
@muziling
举个粒子 www.baidu.com 设置不信任 DNS 114.114.114.114 信任 DNS 8.8.8.8 那么用 不信任 DNS 解析时,会返回一个北京的 IP (假设),接受。 用信任 DNS 时,返回一个香港的 IP (假设),不接受。 是不是这样的设计? |
|
12
muziling OP @Kobayashi
“如果不可信 DNS 返回了国内 IP 且可信 DNS 返回了国外 IP,这种情况怎么处理?” ==>这种情况就是 dnsmasq 自己的 all-servers 机制了,谁响应快,就用谁的。这样看 的确存在问题,如果可信 DNS 速度比不可信 DNS 快,就会解析到国外 IP,丢失部分网站有国内 IP 的 CDN 加速了。 有机会再完善下。 按 dnsmasq 默认机制,应该不存在双向过滤的情况。 |
|
13
muziling OP @Actrace #11
看香港 IP 有没有在 chnroute 里,有的话,不接受,没有的话,接受 dnsmasq 自带的规则 ,哪个 DNS 返回速度快,就用哪个 不知道 --strict-order 这个参数可不可以限制一下。 |
 |
14
alex8 2018-08-23 23:47:22 +08:00 via iPhone
没用的 ,dns 改成多少都没用,了解下旁路抢答 路由牵引
|
|
15
muziling OP @sunweiqiang8 #14 8.8.8.8 是假设可以无污染抵达,比如通过 VPN 走 8.8.8.8,或者用 ss-tunnel 转发成本地 127.0.0.1#5353 也是可以的。
目前自己在用,效果达到预期,虽然有上面提到的问题,但目前运营商的 DNS 速度肯定比 8.8.8.8 来的快。 |
|
16
alex8 2018-08-24 00:31:53 +08:00 via iPhone
可以在 8.8.8.8 后加 dnsmasq 强制最大缓存时间 效果更好
|
 |
17
has 2018-12-31 18:55:59 +08:00
看到你在恩山的介绍,这个 openwrt 上面有有 dnsmasq 和 dnsmasq-full 两个版本。你做的 patch 能够同时兼容吗?
|
|
18
muziling OP @has 好久没上 V2EX 了,openwrt 上的两个版本差距只是一些不常用的功能不编译,比如非 full 版本,好像没有 ipset 功能。 修改的代码没有在 if define 段落里,应该都可以用,可以试一下。
自己一直在用,效果非常满意。 |
Select Language