使用 shellcrash 默认的规则,访问 ipleak.net 有很多 cn 的 DNS 。
手机的规则是没有泄漏的,但不能应用到路由的 shellcrash ,有哪位能提供一个没有泄漏 dns 的规则吗?
35 条回复 2025-10-09 10:04:07 +08:00
 | 1 LongLights 2 天前 crash 要启用高级自定义配置 把 dns 规则写在 user.yaml 里 |
| 2 LongLights 2 天前 @LongLights 在这里面定义 dns 的 nameserver-policy ,只允许 cn 走本地 dns 。但是这个“防泄漏”操作意义不大,具体可以参考下我之前的帖子 |
 | 3 kealm 2 天前 开启了嗅探吗? |
 | 4 SenLief 1 天前 管它干啥 |
 | 5 mezi04 1 天前 dns: enable: true enhanced-mode: redir-host cache-algorithm: arc fake-ip-filter: - "geosite:cn" - "geosite:private" fake-ip-range: 198.18.0.1/16 direct-nameserver: - system # 修复部分直连数据被国外 dns 分配不合适的 ip proxy-server-nameserver: - https://223.5.5.5/dns-query nameserver-policy: "geosite:cn,apple": system 'geosite:category-ads-all': 'rcode://success' "geosite:!cn": - "tls://8.8.4.4#RULES" - "tls://1.1.1.1#RULES" |
 | 6 qiuyue0 1 天前 不用管,对上网没影响 |
 | 7 xmhpqqph01 1 天前 shellcrash 玩,旁路用 openwrt 的 openclash fakeip+mosdns 置完美解! |
 | 8 july1995 1 天前 一直没搞明白 这个 dns 泄露就咋了? 有什么影响吗? |
 | 9 Lightbright 1 天前 @july1995 #8 会让 gfw 知道你在翻墙,仅此而已 |
 | 10 muhahaha 1 天前 @Lightbright 感觉就算不泄露,GFW 也能知道翻墙,所以感觉意义不大呢 |
| 11 Lightbright 1 天前 @muhahaha #10 程度不同,不泄露最多只能知道翻墙的行为,泄露了具体的网站也能被看到,至于威胁程度多大,这是个玄学问题 |
 | 12 zztom OP @mezi04 能用!!!nb ,非常感谢!!我搞了几个小时都没弄好! @LongLights 非常感谢!解决了 @muhahaha @LongLights +1 一个是知道翻墙,一个知道是翻墙哪个网站。搞不好就收到短信了。 再次感谢大家! |
 | 14 AEnjoyable 1 天前 via Android 我是在墙内的服务器上搭了个 adg ,在 adg 那做好 dns 规则。。然后让 clash 所有的 dns 查询指向 adg |
 | 17 rev1si0n 1 天前 买的旁路由装了 openwrt openclash shellcrash 最终发现都不是很适合自己的使用情况要不就是太难用了,最后直接旁路由装了 mihomo chinadns dns-crypt 然后在路由器上设置为网关和 DNS ,最后 ipv6 ra ,通通搞定,没有一点泄漏,再不放心华硕路由器自带 dns 重定向再套一层。 |
 | 18 avrillavigne 1 天前 @july1995 #8 美团 IP 定位 点外卖把你梯子定位了  |
 | 19 People11 1 天前 @Lightbright 能把具体流程说来听听吗? |
| 20 People11 1 天前 via Android DNS 泄漏具体的表现是国外网站走国内 DNS 解析,但是解析被墙的网站如果是走 UDP 53 的话直接被运营商抢答污染了,后续也不太可能将你和中转的连接联系到一起,使用 fakeip 或者加密 DNS 也就不会出现这个问题。所以我是挺好奇 DNS 泄漏导致 GFW 知道你在翻墙这个过程具体是怎么样的。 |
| 21 People11 1 天前 via Android 再加上楼主访问的各种 DNS leak 测试网站实际上测试的是地理位置隐藏,网站自建权威 DNS 服务器,然后生成随机域名让你解析,请求到网站的权威 DNS 服务器后网站就可以知道是哪里的 ISP 在请求解析,这样就暴露了位置。但是我们的场景的目标是抗封锁而不是匿名性,所以 DNS 泄漏对翻墙这种场景下我一直认为是无关紧要的。 |
| 22 Lightbright 1 天前 @People11 这个问题都要被讨论烂了,有人认为有问题,有人就是认为无所谓的。。 我们假设你访问了一个**超级敏感**的网站,但是却通过境内 dns 发起了一次查询,不管是明文的也好加密的也好(现在境内已经没有可用的境外加密 dns 了),此时当局完全有能力把你找出来的,况且此前泄露的文件也表明 gfw 是分布式部署的,泄露给运营商基本可以等同于泄露给 gfw 。 我个人觉得,既然可以通过客户端简单设置完全规避这个风险,那何乐而不为。 至于 fakeip ,这玩意制造的问题比解决问题还多 |
 | 23 bavtoex 1 天前 |
| 24 Lightbright 1 天前 @bavtoex #23 这种建议按照进程( APP )绕过整个国内软件 |
| 25 People11 1 天前 via Android @Lightbright 所以我想表达的意思就是,楼主凭借那些 DNS Leak 网站去判断自己是否 DNS 泄漏是不合理的,人家是检测你的匿名性,而我们翻墙目标是隐私性。对于你提到的场景,泄漏不泄漏还是要看规则本身而不是什么 DNS Leak 网站。有可能楼主的 DNS 规则已经处理了所有被墙的网站,所以就没有处理那些没被墙的 DNS Leak 网站,导致直连 DNS 解析被检测到。 |
| 26 People11 1 天前 via Android @Lightbright 假如机场的 DNS 配置已经是「所有被墙的/被污染的/危险的网站都走境外加密 DNS ,只有没被墙的/国内的/安全的网站走国内 DNS 」,那么假如某个 DNS Leak 网站属于后者,自然也就测出来泄漏了,但是这种泄漏对于翻墙本身的目标来说是无关紧要的。并且如果你坚持所有 DNS 请求都要走境外,那节点域名的解析怎么搞?你要走国内解析就又绕回到 GFW 知道你在翻墙的情况了。 |
| 28 People11 1 天前 via Android  2 @bavtoex 我更喜欢 geosite 和 geoip ,再加上地区限定相关规则,因为一个境外网站就算没被墙,由于 CDN/服务器环大陆部署,速度也好不到哪去,不如到境外的请求一律走代理加速 |
| 29 Lightbright 1 天前 @People11 #25 1.你不能把 dns 泄露的测试域名加到规则里然后说我不泄露了,这和某些手机针对跑分软件做优化有什么区别。 2.你无法列出所有的被墙网站,gfw 是黑箱,网上的 gfwlist 只能说覆盖了大部分。 3.我没有坚持所有 DNS 请求都要走境外,国内域名走境内并无不妥。 4.节点域名并不是什么特别高危的域名。 |
 | 30 ryougifujino 1 天前 DNS 泄漏一两句话说不清楚,有一些误区 1. 并不是说泄漏了就一定有问题,一个合理的规则有一些泄漏是很正常的 2. 不是说用了 fake-ip 就不会泄漏,也不算说用了 fake-ip 泄漏了就有问题 3. 正常来说域名规则和 no-resolve 的 ip 规则靠前,resolve 的 ip 规则靠后,使用 fake-ip 模式,尽量把你不想泄漏 DNS 的域名规则补齐,这样就可以达成比较完美的状态。 |
| 31 People11 1 天前 via Android @Lightbright 我同意你的观点,dns 泄露的测试域名加到规则里不等于不泄漏,但同样的,dns 测试网站说你泄漏了你也不是真的泄漏(特别是测试的目标就不同,翻墙泄不泄漏是要看规则的),所以我认为楼主这样测试后的担忧是杞人忧天,真正有可能导致问题的泄漏机场自己的规则基本都给你处理好了 |
| 32 People11 1 天前 via Android @Lightbright 虽然 gfwlist 不是覆盖全部,但有个规则叫漏网之鱼,并且在流行的 acl4ssr (虽然很过时)里是默认走代理的,只要不是又菜又爱玩的小白把它调到直连那基本不会有什么问题 |
 | 33 crysislinux 1 天前 via Android 1 针在意这个就白名单好了,国内的域名白名单,走国内解析,没命中的全部走 Google DNS ,加上 ecs 基本上还是能得到一个比较近的结果 |
 | 34 GK100 9 小时 5 分钟前 出问题的从来不是什么技术上的好坏 是人的行为 |
Select Language