域名污染解决办法_Openwrt DNS零泄露，零污染之终级方案

1-前词

DNS的泄漏将导致操作员或防火墙知道您正在访问，等等。坦率地说，您知道您正在科学地浏览互联网。此外，对区域敏感的之类的应用程序可以使用DNS来确定您的实际位置。如果有泄漏，它将被判断为使用代理工具并且无法使用其服务

2计划2.0环境准备

解决方案环境可以根据个人情况进行调整。一些网站朋友发送私人消息，希望提供相应的教程，因此他们仅添加相应的教程以供参考，并在必要时可以拾取。

安装指南

是一种开源路由器固件，可为用户提供一个选项，可以在路由器上运行自定义固件，以满足个性化和高级的网络需求。

2.1效果

下一个：++

在谈论计划之前，请查看效果-2160p的油管不滞后60k kbps

2.2解决方案求解的疼痛点已被路由，整个家庭网络实现了这种情况的效果，而没有设置各种移动应用程序，这是所谓的：您将受到一个的影响，您将为整个家庭感到高兴。我不再担心由于DNS泄漏，我努力构建的节点将被检测到甚至被阻止。由于DNS污染，我不再害怕放缓进入网络的访问，观看外国视频可能时不时被阻止或中断。如果您已经完成了所有这些，建议使用Esir Boss的高端固件。作者使用：-GDQ-V2 [2023] -X86-64 --- UEFI，涵盖上述三个软件。如果您使用其他版本的OP，请首先安装这三个软件。 （所有相关软件都可以在本网站或官方网站上下载）2.3解决方案原理保留的各种功能

基于DNS的交通分流，国内流量绕过冲突核心以解决DNS污染问题，但限制了假IP，不需要代理的域名仍然返回正常IP的范围，不必担心寻找无污染的DNS服务器，并且使用运营商提供的DNS没有问题。

由于DNS污染得到了完全解决，因此可以信心缓解DNS请求结果。启用乐观的缓存后，平均DNS处理时间减少到3ms。 Web管理页面可用于轻松切换设备是否通过DNS转移。所有需要代理的域名均分配给假IP。不需要代理的域是操作员DNS返回的最佳结果。 Clash的DNS可以在没有请求的情况下以虚假的IP模式直接返回结果，因此总体DNS响应速度非常快。处理虚假的IP流量时，冲突会将其发送到DNS分辨率的遥控端，因此自然没有DNS污染的问题。交通代理人转移后，国内零件被移交给了外国零件。由于存在假IP，我们只需要一条防火墙规则就可以将所有流量带有目标地址假地址伪造的IP到Clash Core，并且所有其他流量都没有转发和正常传递。由于只有虚假的IP流量将通过代理，因此直接连接的流量自然不会通过代理，因此您不必再担心运行代理的BT/PT的流量。为了解决单个IP的代理问题，某些需要代理的应用程序直接连接到IP，而无需浏览DNS域名分辨率的步骤。目前，我只使用一个。幸运的是，提供了IP-CIDR的列表，我们只需要分别配置这些IP的防火墙规则，然后将其转发到Clash Core。可以基于域名构建域名的黑白列表，以确保您选择的某些域名必须通过或不传递Clash Core代理。常见用途包括：构建的DDNS服务，服务，自行构建的VPN服务等。乐观的缓存，冲突可以在重新启动过程中保存假IP列表，并且操作员DNS的返回结果基本上稳定，因此我们可以安全地启用乐观的缓存功能。目前，过期的缓存结果将首先返回，然后自行慢慢更新缓存内容，这可以大大提高客户端的DNS请求响应速度。 2.4解决方案过程

相应的软件包已安装：Luci-App-，Luci-App-，。然后，我们将一一配置。

2.4.1

插件设置 - 模式设置 - 运行模式：切换到假IIP（增强）模式

插件设置 - DNS设置 - 本地DNS劫持选择选择禁用

插件设置 - 交通控制 - 旁路大陆中国IP

插件设置 - 流量控制 - 仅允许打开

插件设置-IPv6设置此页面上的所有选项均已关闭

覆盖设置 - 无需在此处更改一般设置，只需记住DNS侦听，然后使用后续配置

覆盖设置-DNS设置 - 自定义上游DNS服务器检查

覆盖设置 - DNS设置 - 跟进DNS检查

覆盖设置-DNS设置 - 附加默认DNS检查

覆盖设置 - DNS设置 - 假-IP持久性检查

覆盖设置 - DNS设置页面中的DNS服务器 - 都没有选中，因为中国总运营商的DNS访问是最快的，CDN也是最优化的。外部部位被送给代理商，因此将此部分留空。

插件设置 - GEO数据库订阅打开Geoip DAT和这两个库的自动更新，并选择用于使用的版本。

插件设置 - 在开发人员选项中，我们自定义防火墙规则。

在原始内容和出口0之间添加以下几行：

en_mode=$(uci -q get openclash.config.en_mode)
proxy_port=$(uci -q get openclash.config.proxy_port)
if [ "$en_mode" == "fake-ip" ]; then
	LOG_OUT "limit route to only fake ips with proxy port $proxy_port"
	iptables -t nat -D openclash -p tcp -j REDIRECT --to-ports $proxy_port
	sleep 1
	LOG_OUT "update telegram ipset"
	/etc/mosdns/rule/geoip2ipset.sh /etc/openclash/GeoIP.dat telegram
	iptables -t nat -A openclash -m set --match-set telegram dst -p tcp -j REDIRECT --to-ports $proxy_port
	sleep 1
	LOG_OUT "update netflix ipset"
	/etc/mosdns/rule/geoip2ipset.sh /etc/openclash/GeoIP.dat netflix
	iptables -t nat -A openclash -m set --match-set netflix dst -p tcp -j REDIRECT --to-ports $proxy_port
	sleep 1
fi
#  停止AdguradHome
LOG_OUT "stop adguardhome"
/etc/init.d/AdGuardHome stop
sleep 1
#  开启AdguradHome
LOG_OUT "start adguardhome"
/etc/init.d/AdGuardHome start
sleep 1
# 停止Mosdns
LOG_OUT "stop mosdns"
/etc/init.d/mosdns stop
sleep 1
# 开启Mosdns
LOG_OUT "start mosdns"
/etc/init.d/mosdns start
sleep 1
# 重载Mosdns
LOG_OUT "reload mosdns"
/etc/init.d/mosdns reload
sleep 1

2.4.2

选择自定义配置文件并取消DNS转发检查

我们在数据导出配置中使用的标签：

：CN，Apple-CN，

- ！CN，GEOIP：CN

2.4.2.1自定义配置如下：

冲突DNS端口应更改为您自己的配置（例如7874）

LAN IP-CIDR还必须更改为您自己的配置，并在此处监视端口5335。

log:
  level: info
  file: "/tmp/mosdns.log"
include: []
plugins:
  # 国内域名
  - tag: geosite_cn
    type: domain_set
    args:
      exps:
        - "lan"
        - "local"
        - "arpa"
      files:
        - "/etc/mosdns/rule/whitelist.txt"
        - "/var/mosdns/geosite_cn.txt"
        #- "/var/mosdns/geosite_apple-cn.txt"
        #- "/var/mosdns/geosite_category-games@cn.txt"
#上述两行需要注销，否则无法启动mosdns
#原因为Geoip和Geosite两个文件UNPACK后无上述两文件。
  # 国内 IP
  - tag: geoip_cn
    type: ip_set
    args:
      files:
        - "/var/mosdns/geoip_cn.txt"
  # 国外域名
  - tag: geosite_no_cn
    type: domain_set
    args:
      files:
        - "/etc/mosdns/rule/greylist.txt"
        - "/var/mosdns/geosite_geolocation-!cn.txt"
  # hosts
  - tag: hosts
    type: hosts
    args:
      files:
        - "/etc/mosdns/rule/hosts.txt"
  # 国内解析
  - tag: local_sequence
    type: sequence
    args:
      - exec: forward 202.101.XXX.XXX 
      #国内解析DNS：填114或当地运管商DNS均可，建议后者，一般解析速度快
      - matches:
        - has_resp
        - resp_ip 192.168.0.3/24 # 局域网IP段
        exec: ttl 1800-0
  # 国外解析
  - tag: remote_sequence
    type: sequence
    args:
      - matches:
        - qtype 28
        exec: reject 0
      - exec: forward 127.127.127.127:7874 
      #openclash 端口，127.X.X.X随便填均可，常用为127.0.0.1
      - exec: ttl 1800-0
  # 有响应终止返回
  - tag: has_resp_sequence
    type: sequence
    args:
      - matches: has_resp
        exec: accept
  # fallback 用本地服务器 sequence
  # 返回非国内 ip 则 drop_resp
  - tag: fallback_local
    type: sequence
    args:
      - exec: $local_sequence
      - matches: "!resp_ip $geoip_cn"
        exec: drop_resp
  # fallback 用远程服务器 sequence
  - tag: fallback
    type: fallback
    args:
      primary: fallback_local
      secondary: remote_sequence
      threshold: 200
      always_standby: true
  # 主要的运行逻辑插件
  # sequence 插件中调用的插件 tag 必须在 sequence 前定义，
  # 否则 sequence 找不到对应插件。
  - tag: main_sequence
    type: sequence
    args:
      # hosts
      - exec: $hosts
      - exec: jump has_resp_sequence
      # drop https query type
      - matches:
        - qtype 65
        exec: reject 3
      # handle local ptr
      - matches:
        - qtype 12
        exec: $local_sequence
      - exec: jump has_resp_sequence
      - matches:
        - qname $geosite_cn
        exec: $local_sequence
      - exec: jump has_resp_sequence
      - matches:
        - qname $geosite_no_cn
        exec: $remote_sequence
      - exec: jump has_resp_sequence
      - exec: $fallback
  - tag: udp_server
    type: udp_server
    args:
      entry: main_sequence
      listen: ":5335" #mosdns监听端口，后续在Adguard中作为上游地址填写。

2.4.2.2设置IPSET文件

SSH到路由，创建一个新的.sh文件，路径：/etc//rule/.sh

该脚本可以基于GEOIP数据库生成相应的IPSET。

请记住执行：CHMOD 777.SH可执行权限。

#!/bin/bash
geoipfile="$1"
tag="$2"
tmpdir="/tmp/v2dat"
cd $(cd $(dirname $BASH_SOURCE) && pwd)
mkdir -p "$tmpdir"
filename=$(basename -- "$geoipfile")
filename="${filename%.*}"
filename="$tmpdir/${filename}_$tag.txt"
if [ "$tag" == "telegram" ]; then
    wget --timeout 5 -O "$filename" 'https://core.telegram.org/resources/cidr.txt'
    if [ "$?" != "0" ]; then
         /usr/bin/mosdns v2dat unpack-ip -o "$tmpdir" "$geoipfile:$tag"
    fi
else
    /usr/bin/mosdns v2dat unpack-ip -o "$tmpdir" "$geoipfile:$tag"
fi
if test -f "$filename"; then
    ipset destroy "$tag"
    ipset create "$tag" hash:net
    while read p; do
        if ! grep -q ":" <<< "$p"; then
            ipset add "$tag" "$p"
        fi
    done <"$filename"
else
    echo "$filename missing."
fi
rm -rf "$tmpdir"

2.4.3单独收听端口53，将非端口53进行重定向：网络管理页面，设置 - 在DNS设置中，在上游DNS DNS 127.0.0.1:5335＃，仅填充一个地址，

私有反向DNS服务器写入127.0.0.1：端口＃地址。在DNS缓存配置中，缓存大小取决于您的内存大小，并检查了乐观的缓存。

2.5最终工作

最后一步：在---设置中添加一个规则，该规则在重新启动后生效。

iptables -t nat -A PREROUTING -d 198.18.0.0/16 -p tcp -j REDIRECT --to-ports 7892

代码含义：将假IIP网络段（即，外部网络域名）的流量转移到处理，接收并将其交给节点，该节点直接查询真实和无污染的无污染外部网络DNS以获得有效的访问地址。

通过查看的YACD面板，如果没有国内链接，只有外国链接，则意味着DNS转移是正常的，并且节点正常工作

3-Q＆A第3.1节如果无法启动该怎么办？

SSH到达路线后，使用代码运行。在此模式下有一个错误，您可以相应地处理。

/usr/bin/start -c/etc//.yaml。我遇到的问题是，GeoIP和两个文件之后没有Apple-CN和其他文件。只需注销。

3.2如果没有流量，这是怎么回事？

作者还遇到了这一点，因此在接管了53个港口性别后，解决了问题，并且DNS转移（函数） +死神（功能）功能得到了完美协调。

3.3不能订阅节点？

由于网络问题，订阅有时会失败（即使在科学的互联网环境中，也有一定的失败机会）。目前，您可以通过受信任的第三方在线节点转换器或本地转换器生成链接，然后导入它们。 （附件，我建立了自己的在线节点转换，可以充满信心地食用，并使用高级手段，并且无法获得节点信息）

3.4为什么中间的节点无效，但是其他软件（例如SSL）中节点的ping值是正常的？

人们怀疑该数据库尚未进行更新，但由于不能是科学的，因此无法进行更新。这是一个死胡同。作者的方法是使用SSL达到正常状态，然后在完成升级后切换回该计划。

3.5这种情况是否支持IPv6

测试后，它非常支持IPv6。

与4相关的软件下载

可以从官方网站下载与计划有关的软件。以下是与作者编制的该计划相关的软件。如有必要，您可以注册并下载。

1。相应版本：作者推荐此版本，包括所有相应的软件，并且可以使用。如果版本缺少相应的软件，只需在注册后选择下载即可。

2。：版本045.157和相应的开发内核，TUN和META文件不需要升级。如果节目夏天后有一些奇怪且无法解决的现象，您可以尝试升级。

3。：版本5.31 + LCUI控制台文件 +中文软件包文件 + VDAT依赖性文件 + GEOIP，文件。