一开始接触 singbox 就是按照官方的示例用 realIP ,需要注意的地方就是不能忘记拦截加密 dns 请求,不然容易 dns 泄漏,但是看到日志中一大堆 block 又觉得怪怪的,有的应用被拦截还会不停的请求。
后来想试试 fakeIP ,结果发现 fakeIP 真的挺简单暴力的,只要国外域名一律 fakeIp ,什么请求无所谓了让它随便请求,反正返回是假的。
当初说的 realIP 可以避免一些网站无法访问,其实我用 fakeIP 的时候也没发现多少这样的网站,所以我现在有点犹豫,到底用 realIP 还是 fakeIP 呢?
想问下大家的看法。谢谢🙏!
2
shannon404 18 天前 2
fakeip
配置文件里的 dns 字段加上这个就不用担心出问题了: fake-ip-filter: ["*.lan","*.localdomain","*.example","*.invalid","*.localhost","*.test","*.local","*.home.arpa","time.*.com","time.*.gov","time.*.edu.cn","time.*.apple.com","time-ios.apple.com","time1.*.com","time2.*.com","time3.*.com","time4.*.com","time5.*.com","time6.*.com","time7.*.com","ntp.*.com","ntp1.*.com","ntp2.*.com","ntp3.*.com","ntp4.*.com","ntp5.*.com","ntp6.*.com","ntp7.*.com","*.time.edu.cn","*.ntp.org.cn","+.pool.ntp.org","time1.cloud.tencent.com","music.163.com","*.music.163.com","*.126.net","musicapi.taihe.com","music.taihe.com","songsearch.kugou.com","trackercdn.kugou.com","*.kuwo.cn","api-jooxtt.sanook.com","api.joox.com","joox.com","y.qq.com","*.y.qq.com","streamoc.music.tc.qq.com","mobileoc.music.tc.qq.com","isure.stream.qqmusic.qq.com","dl.stream.qqmusic.qq.com","aqqmusic.tc.qq.com","amobile.music.tc.qq.com","*.xiami.com","*.music.migu.cn","music.migu.cn","+.msftconnecttest.com","+.msftncsi.com","localhost.ptlogin2.qq.com","localhost.sec.qq.com","+.qq.com","+.tencent.com","+.steamcontent.com","+.srv.nintendo.net","*.n.n.srv.nintendo.net","+.cdn.nintendo.net","+.stun.playstation.net","xbox.*.*.microsoft.com","*.*.xboxlive.com","xbox.*.microsoft.com","xnotify.xboxlive.com","+.battlenet.com.cn","+.wotgame.cn","+.wggames.cn","+.wowsgame.cn","+.wargaming.net","proxy.golang.org","stun.*.*","stun.*.*.*","+.stun.*.*","+.stun.*.*.*","+.stun.*.*.*.*","+.stun.*.*.*.*.*","heartbeat.belkin.com","*.linksys.com","*.linksyssmartwifi.com","*.router.asus.com","mesu.apple.com","swscan.apple.com","swquery.apple.com","swdownload.apple.com","swcdn.apple.com","swdist.apple.com","lens.l.google.com","stun.l.google.com","na.b.g-tun.com","+.nflxvideo.net","*.square-enix.com","*.finalfantasyxiv.com","*.ffxiv.com","*.ff14.sdo.com","ff.dorado.sdo.com","*.mcdn.bilivideo.cn","+.media.dssott.com","shark007.net","Mijia Cloud","+.market.xiaomi.com","+.cmbchina.com","+.cmbimg.com","adguardteam.github.io","adrules.top","anti-ad.net","local.adguard.org","static.adtidy.org","+.sandai.net","+.n0808.com","+.3gppnetwork.org","+.uu.163.com","ps.res.netease.com","+.oray.com","+.orayimg.com","+.pvp.net"] |
3
WizardLeo 18 天前
为什么不 cnsite 走国内、其余全部走国外但 ecs 设置为国内 ip 。
好处是国内基本全部正常,不在规则内的极少数小众网站会走国外、国外有 cdn 的国内网站会被兜底走回国,国外全部正常。 |
4
jqtmviyu 18 天前 1
我在用 P 核, 它可以配置先用国外 dns 请求, 如果是国内的 ip, 则重新用国内的 dns 请求, 返回 realip, 国外的返回 fakeip.
|
5
gentrydeng 18 天前 via Android
@WizardLeo #3 当你看到“DNS 泄漏”字样的时候你得意识这是位“不想暴露自己生活在中国内地”的主。ECS 设置为中国内地 IP ,对于他而言过于“危险”了。
|
6
COW 18 天前 via Android
fake-ip ,遇到特殊的,比如内网下的自定义域名,可以自己设置过滤规则。
|
7
hefish 18 天前
我还是感觉 mihomo 更好配些。。。。
|
8
devli OP @WizardLeo 这就是官方的做法,也是我一开始的做法,也就是 realip ,但是这种做法为了解决 dns 泄漏,采用了类似如下做法:
{ "type": "logical", "mode": "or", "rules": [ { "port": 853 }, { "network": "udp", "port": 443 } ], "outbound": "block" }, 也就是说把所有程序发出的加密 dns 请求全都 block 掉,只让 53 端口通过,这种方法会导致一些只使用加密 dns 请求的程序出现问题,这就是我一开始说的后台日志有大量的 block 。 |
9
devli OP @gentrydeng 不是的,所谓的 dns 泄漏说的是泄漏自己的真实 ip ,ecs 只是定义个 ip 段,而且可以随意定义,那不算泄漏。他说的就是我一开始的做法,也是官方的做法,也就是 realip 的做法,按照官方做法是可以避免 dns 泄漏的,问题是这种方法为了解决 dns 泄漏,选择直接 block 掉加密 dns 请求,导致一些只允许 doh/dot 请求的程序出现问题。
|
10
devli OP 谢谢,我试试。
|
12
devli OP @shannon404 谢谢,我看看
|
14
yyysuo 18 天前
mosdns 提前预分流,不用全 fakeip 。
https://github.com/IrineSistiana/mosdns/discussions/837 |
15
WizardLeo 18 天前 1
@gentrydeng
一般来说,“避免 dns 泄露”对于普通人来说指的是“不把不该出现的 dns 请求泄露国内 isp(以避免审查)”,而非你的理解。 不过如果要避免你说的问题,感觉设置一个日本或者台湾的 ip 来变相降低点延迟也不是不行? |
16
WizardLeo 18 天前 1
@devli
为什么你要 block 它呢?它自带 doh 意味着不需要你做任何管理,他自己就会走国内(因为它的 doh 获取到的 ip 肯定会被你 cnip 的规则匹配到)。最大的问题就是你没办法对它进行 dns 水平的广告过滤了,但这问题也不算太大吧。 |
17
Rorysky 18 天前
现在大家都用 singbox 了么?
|
18
sanquan 18 天前 via iPhone 1
不打游戏就 fakeip
|
21
jqtmviyu 17 天前
@gentrydeng #5 不对, 假设 ECS 设置了福建, 那么如果上游支持 ecs, 会返回靠近福建的 ip, 假设这个 ip 还在海外, 这时候机场有可能反而绕路了.
|
22
jqtmviyu 17 天前
@hefish #7 mihomo 好像 dns 规则没办法设置那么细, 没办法国内 realip, 国外 fakeip. 网上还是推崇用 direct-host, 国内走 nameserver-policy, 国外走 nameserver
|
25
WizardLeo 16 天前
@jqtmviyu
首先,小众国内网站有港日台的 cdn 但没有美国 cdn 的几率疑似有点太低了,毕竟大家追求的出海主要还是面向欧美。 其次,其实可以在用 cnsite 的域名分流列表之外再加一个 hksite ,根据 hksite 分流到一个设置了任意 hkip 的 dns ,再把 cnip 的直连改成 cnip 、hkip 的直连,这样就可以解决你提出的这个问题了(可推广到 jpip 、twip)。说到底还是性能开销、设置复杂度和收益之间的权衡,而非代理逻辑上的天生缺陷。 最后,其实不好说国内直连 hk 、jp 和 tw 稳定性一定能强于优化线路的美国绕路,所以这么增加复杂度真没必要。 |