Clash: [Вопрос] Роль резервной копии в днс
Например, настроить так в конфигурации
dns:
enable: true
listen: :53
enhanced-mode: redir-host
nameserver:
- 223.5.5.5
fallback:
- 8.8.8.8
Мой вопрос в том, что делает резервный вариант?
Я прочитал эту статью: Влияние загрязнения DNS на Clash (для Windows)
В статье говорится, что параллельные запросы выполняются из DNS на сервере имен и в резервном режиме, а первый результат ответа на сервере имен выбирается в качестве эталона. Используйте GEOIP для определения области этого IP-адреса. Если он принадлежит стране (CN) или зарезервированному адресу, он будет напрямую отвечать клиенту. В случае, если результат отката передается клиенту
Но в статье также говорится, что, когда считается, что загрязненный IP-адрес требует прокси-сервера, Clash все еще может нормально работать в это время. Это потому, что Clash фактически не отправляет этот IP-адрес на прокси-сервер, а напрямую отправляет хост на прокси-сервер. Разрешение DNS выполняется на прокси-сервере, поэтому запрос может получить более подходящий IP-адрес и лучше использовать ресурсы CDN.
Я очень озадачен тем, что, поскольку сервер имен может напрямую определять загрязненный IP-адрес, загрязненный IP-адрес будет напрямую отправлять хост на прокси-сервер, а прокси-сервер определит правильный и удобный для CDN IP-адрес, разве нет необходимости в резервном варианте?
Я знаю, что, должно быть, что-то неправильно думаю, я здесь, чтобы спросить совета, не смейтесь надо мной ...
ju0594
Все 6 Комментарий
Встроенный DNS предназначен для решения проблемы разрешения DNS прозрачного прокси, нет необходимости открывать его для нормального использования
h3fang
18 апр. 2020
Загрязненный IP-адрес не может быть оценен, но когда GeoIP, возвращаемый первым DNS, не является CN, будет использоваться значение резервного DNS. Поскольку загрязненный GeoIP находится за границей, конфликт может предотвратить загрязнение с этого уровня. Конечно, предпосылка состоит в том, чтобы Настройте DNS в восходящем направлении от резервной группы (например, DNS без загрязнения [базовое исчезновение, выставленное в стене], через нестандартные порты, DNS через TLS / HTTPS).
Вы можете обратиться к: https://github.com/Dreamacro/clash/issues/621#issuecomment -614702773
Что касается вики cfw, даже если она заражена, это означает, что если текущее правило сопоставления соединений приводит к прокси-серверу, конфликт изменит соединение, инициированное IP-адресом, на его исходное имя хоста и отправит его на удаленный узел, поэтому даже клиент / Браузер получает загрязненный IP-адрес, и это не повлияет на окончательное соединение, потому что загрязненный IP-адрес был отброшен, когда он был отправлен на удаленный прокси-сервер через конфликт, а исходное имя хоста повторно применяется, что перенаправляется- Происхождение названия режима хоста.
Также ссылка: Говоря о поведении разрешения DNS в среде прокси | Блог Sukka
Mosney
23 апр. 2020
nameserverсервер в не загрязнен (например, локально созданный защищенный от загрязнения DNS-сервер)fallbackне требуется устанавливать- Если правило соответствует
Proxy, оно просто не будет использовать разрешенный IP-адрес и отправит доменное имя непосредственно на прокси-сервер, что решит проблему CDN. - Если правило соответствует
DIRECT, оно напрямую инициирует соединение с разрешенным IP-адресом.
.
- При использовании прокси Socks5 / Http (s) системе не нужно знать целевой IP-адрес для подключения, просто отправьте запрос доменного имени на прокси-сервер.
- При использовании прозрачного прокси-сервера, поскольку это стандартная реализация TCP / IP, пакет, полученный Clash, не содержит информации о доменном имени, поэтому Clash должен использовать встроенную функцию DNS для выполнения сопоставления доменного имени IP <->, чтобы Clash мог отправить систему DST-IP в пакете TCP / UDP восстанавливается до доменного имени, и правило соответствует
.
Мое понимание должно быть правильным? @Dreamacro
ps: документация по Clash действительно не очень подробная, проверяйте информацию везде ...
muink
21 июл. 2020
nameserverсервер в не загрязнен (например, локально созданный защищенный от загрязнения DNS-сервер)fallbackне требуется устанавливать- Если правило соответствует
Proxy, оно просто не будет использовать разрешенный IP-адрес и отправит доменное имя непосредственно на прокси-сервер, что решит проблему CDN.- Если правило соответствует
DIRECT, оно напрямую инициирует соединение с разрешенным IP-адресом..
- При использовании прокси Socks5 / Http (s) системе не нужно знать целевой IP-адрес для подключения, просто отправьте запрос доменного имени на прокси-сервер.
- При использовании прозрачного прокси-сервера, поскольку это стандартная реализация TCP / IP, пакет, полученный Clash, не содержит информации о доменном имени, поэтому Clash должен использовать встроенную функцию DNS для выполнения сопоставления доменного имени IP <->, чтобы Clash мог отправить систему DST-IP в пакете TCP / UDP восстанавливается до доменного имени, и правило соответствует
.
Мое понимание должно быть правильным? @Dreamacro
ps: документация по Clash действительно не очень подробная, проверяйте информацию везде ...
Извините, если он используется не в качестве прозрачного прокси, а только в качестве клиента, будет ли использование redir-host на одно разрешение больше, чем режим поддельного IP (при условии, что существует доменное имя прокси), или все одинаковы?
akw5454521
27 июл. 2020
@ akw5454521
Режим fake-ip на самом деле не включает разрешение DNS.После того, как clash получает запрос DNS, он напрямую отправляет зарезервированный IP-адрес пользователю и устанавливает соединение напрямую с удаленным сервером через socks5 через доменное имя в запросе DNS, а затем возвращается через зарезервированный IP-адрес и Пользователь устанавливает фактическое соединение
Режим redir-host необходимо проанализировать, и результат анализа имеет смысл только тогда, когда он соответствует правилу прямого подключения (напрямую устанавливает соединение). Не имеет значения, является ли результат синтаксического анализа доменного имени, которое необходимо проксировать, поддельным, потому что этот шаг совпадает с приведенным выше fake-ip Цель, которую необходимо достичь, та же самая, только для пользователя и конфликта, чтобы установить соответствие между доменным именем и IP.Запрос к удаленному серверу - это доменное имя, а не разрешенный IP.
Что касается скорости, то fake-ip как можно дольше
muink
28 июл. 2020
Я хотел бы спросить, если в режиме redir-host, если GeoIP определит, что это не CN, он будет откатиться, и если он одновременно соответствует условиям прокси, тогда хост будет напрямую отправлен на удаленный для анализа, то есть будет ли IP получен клиентом Неважно, правда ли это (потому что, если определено, что агент должен быть разрешен с удаленного конца), тогда я хочу спросить, в чем смысл резервной группы, лучше использовать загрязнение на сервере имен напрямую, в любом случае, это должно быть разрешено с удаленного конца.
(Ps: я лично думаю, что только когда доменное имя заражено и определено, что это не прокси, резервный вариант действительно сработает)
Кроме того, при запросе DNS в резервной копии (например,
secretandanon
15 сент. 2020
Смежные вопросы
ingjieye
·
6Комментарии
Tsahao
·
4Комментарии
Zaoyee
·
3Комментарии
FenghenHome
·
6Комментарии
luvletter2333
·
5Комментарии
Самый полезный комментарий
Загрязненный IP-адрес не может быть оценен, но когда GeoIP, возвращаемый первым DNS, не является CN, будет использоваться значение резервного DNS. Поскольку загрязненный GeoIP находится за границей, конфликт может предотвратить загрязнение с этого уровня. Конечно, предпосылка состоит в том, чтобы Настройте DNS в восходящем направлении от резервной группы (например, DNS без загрязнения [базовое исчезновение, выставленное в стене], через нестандартные порты, DNS через TLS / HTTPS).
Вы можете обратиться к: https://github.com/Dreamacro/clash/issues/621#issuecomment -614702773
Что касается вики cfw, даже если она заражена, это означает, что если текущее правило сопоставления соединений приводит к прокси-серверу, конфликт изменит соединение, инициированное IP-адресом, на его исходное имя хоста и отправит его на удаленный узел, поэтому даже клиент / Браузер получает загрязненный IP-адрес, и это не повлияет на окончательное соединение, потому что загрязненный IP-адрес был отброшен, когда он был отправлен на удаленный прокси-сервер через конфликт, а исходное имя хоста повторно применяется, что перенаправляется- Происхождение названия режима хоста.
Также ссылка: Говоря о поведении разрешения DNS в среде прокси | Блог Sukka