感谢你的支持与认可！

直接给你DNS劫持到公安局自首界面

怎样才能避免这种情况呢

@@shost902 这个视频不就是在教我们怎么避免么😂

@@shost902 视频里不是说里吗

别想了，看到这个视频的都是重度用户了，早被label了

怎么弄，简单说一下

貌似也没啥敏感域名吧😂

@@soulmateany4096 比如轮子，赌博，民运网站，或者是ssh连续爆破，ddos攻击；会有人上门请你喝茶，顺便检查你是不是中了病毒

大力宣传Chrome就好啦。Chrome默认用Google，小白还不会改

旁路由...

V2RAY就解決了這問題的，感覺就是clash的弊端，只能通過服務提供商給你規則，而大部分提供商又很忽視DNS泄露的問題

现在原版clash是代理获取dns进行规则匹配了吗？

可能fakeip地址池不够用

@@bulianglin 这个简单, 偷国防部的 /8 ip段就好了.

@@bulianglin en.wikipedia.org/wiki/List_of_assigned_/8_IPv4_address_blocks 用这里提供的国防部的ip段, 段够大的, 而且不会有正常网站用里面的ip, 直接拿来当fakeip用

加个mosdns服务器就很好啦

用fakeip的tun模式

视频里两次DNS请求，按你说的都是从本机→梯子→网站，延时直接爆炸，开个网站要几秒钟吧

这样首次解析延迟会上天的，而且有些网站可能会走国际版

这个确实是够慢

先分流

这样机场服务器CPU会爆满，机场主不会同意。明明是别人的任务却加到这里来了

开启udp转发试试

一般来说dns查询是明文的，在把dns查询请求发送到国外dns服务器的过程中就已经被中间的路由记录下来了

套前置DNS怎么操作的，求详解

我是用mosdns DNS分流 ，科学才发给clash处理。

愿意把配置文件脱敏发给我看一下吗？

咋套啊

还有一个疑问啊，如果clash在路由器上，用fake-ip， 它如何匹配ip规则呢？它不发起dns请求就不知道真实ip，发起了就会泄露。

设置菜单最底下有个“清除fake-ip缓存”选项，不知道是不是新加进去的，点了显示“失败原因”未找到DNS存储桶“

无视就可以了。。

@@xuzhan1031 会断网啊...无法无视

singbox也有tun模式，玩自建的话倒不用套娃

oepnclahs 有meta内核 可以打开utls

有没有可能你可以自己写配置去解决，机场提供的容易泄漏的配置拿来就用，还要怪软件

@@xubai2 泄漏是一方面。那包长度呢？clash 中 vmess 和 shadowsocks 某些包长度是固定的，是个非常明显的特征。

因为它不是域名....

下期讲

clash还能配置wg？

+1

如果openwrt能完成，我也不介意

同求

我和你的结构一样的，也有dc,客户端都指向了Windows dns。dns里设置 指向上游的运营商dns就好了。网关交给openwrt里的open clash。

@@shinshen9020 我使用了clash meta内核，开启流量探测，那么网关指向clash，dns保持默认就可以。不过会导致dns泄露

早期是发送域名，后期是强制发送ip，结果还是有其他问题，于是直接弃用了，直接用fakeip即可

用fakeip要添加filter，后面有说

@@bulianglin 看到了，但是openclash每次更新订阅之后就会把yaml里的filter给覆盖掉。订阅转换的模板没有提供filter的配置

在12:23時間點講到，如果上游dns返回的不是國內ip則使用fallback返回的ip，確保國外服務器使用fallback返回的地址。。 我想問是，上面說的上游dns是nameserver標註的嗎？不是fallback? 還有上面流程是哪步判斷是國內的ip？ 謝謝，希望作者耐心回答

redir-host已经被弃用了不用再纠结了，你提到的问题视频中都有说明，判断是不是国内IP是在分流规则中的ip规则进行的，fake-ip如果碰到ip规则，在没有加no-resolve的情况下会向所有的上游dns包括fallback发起dns请求，如果是国外ip，会使用fallback的解析结果进行分流匹配，所以fallback要使用加密dns确保结果没有被污染（如果fallback也被污染那就没有意义），防止分流匹配出问题，并非没有意义

按我的理解是，client端发起DNS请求是为了获取域名所属IP，以便于client端在传输及网路层的处理（OSI模型）这是第一个动作：请求域名对应的IP client端在拿到上游DNS server返回数据包响应后，便会依据返回的IP主动建立TCP/UDP链接 这是第二个动作：发起建立目标链接 路由上的fake-ip主要是拿来欺骗client端的，为了只是给它一个DNS反馈包，以利client端根据拿到的IP（假的）发起主动链接，这样路由才有办法拦截client端发起的数据包链接做后续处理 好了，现在重点来了，当clash接管client发起的流量时，它会干什么事？答案是按照配置规则做转发，也就是俗称的代理 你的问题应该是clash怎么判断分流？对吗？ 这个要看你是设为Re-direct模式还是Fake-IP模式，这两模式分流相当不同，其实视频up主说的很清楚了，你多看几遍就能理解了 如果是Re-direct模式，都是要向上游DNS发起主动DNS请求的，也就是up主说的DNS泄露 如果是Fake-IP模式，就是我上面说的那样返回假的IP给client端发起后续链接 不论是哪个模式，在命中匹配规则的前提下，都是clash把请求域名转交给机场节点，机场节点就会根据clash请求的域名在机场的DNS配置下做解析并代client端请求目标网站数据并返回给clash，再由clash将数据返回给client端 至于没有命中匹配的域名规则或CIDR-IP段，则要看你兜底的那个match规则怎么设置 很类似我们设置防火墙最后一条规则一定是deny all一个意思 当然你也可以accept all，但就失去设置防火墙的意义了

在clash前面加ADG

​@@司马懿的粉丝 你是指clash的解析指向ADG？我现在是电脑指向ADG->CLASH->MOSDNS

@@frankliang118 adg在前面就起作用。

不要翻墙可能对你是最安全的......

加钱就有加速的优势了

@@bulianglin 大佬能讲讲这两者加速的区别么？

我粗俗的理解是加速器是直接连接到该游戏服务器，clash或者netch只是吧线路拉到香港再去连接服务器。不知道我这样理解对不对。

@@宙斯酱 UDP和http的区别！

因为他叫透明代理，之所以叫透明代理是因为你不知道他的存在，没有代理的情况下就会按正常的流程发起dns请求

装个AD 就解决了。

自己转换配置,oc 里面订阅里面有现成的