为啥clash全局模式也侧漏了

前情回顾:

DNS配置:

dns:
  enable: true
  prefer-h3: true
  listen: :1053
  ipv6: false
  default-nameserver:
    - 223.5.5.5
  enhanced-mode: fake-ip
  fake-ip-range: 198.18.0.1/16
  nameserver:
    - 223.5.5.5
    - 223.6.6.6
    - 119.29.29.29
    - 119.28.28.28

后续测试了chrome,edge浏览器,也试过纯内核方式,mihomo v1.18.5,mihomo v1.18.8,唯独火狐有问题

rules:
  - PROCESS-NAME,firefox.exe,某个代理组
  - PROCESS-NAME,chrome.exe,某个代理组
  - PROCESS-NAME,msedge.exe,某个代理组
  # 下面所有IP类规则都加了no-resolve,其实不影响,因为上面已经匹配上了

今天试了下全局模式,火狐居然还是测漏,全局都能侧漏到底为啥啊
image
image

66 Likes

虽然找不出问题所在,但是发现一篇写的还不错的文章

深入浅出地介绍 Clash DNS 的工作原理: 『Blog』Dive into Clash DNS

3 Likes

我用这个没什么问题,也没有设置什么规则

2 Likes

试试这个配置?你不是使用的全局模式吗,你自己写的rules怎么还会还会生效???不是直接走global策略组吗?

dns:
  enable: true
  ipv6: false
  respect-rules: true
  enhanced-mode: fake-ip
  fake-ip-filter:
    - "*"
    - "+.lan"
    - "+.local"
    - "+.market.xiaomi.com"
  nameserver:
    - "https://dns.cloudflare.com/dns-query"
    - "https://dns.google/dns-query"
  proxy-server-nameserver:
    - https://120.53.53.53/dns-query
    - https://223.5.5.5/dns-query
  nameserver-policy:
    "geosite:cn,private":
      - https://120.53.53.53/dns-query
      - https://223.5.5.5/dns-query
3 Likes

全局下rules确实没用了,全部走选择的某个代理或直连,发自己的那段配置就是看看万一是不是自己理解不到位

解决了吗???

应该是火狐浏览器的DNS策略的问题吧;测试了下,只有网络设置走socks代理dns查询才不会走本地的dns吧


1 Like

选择dns为最大保护也不会泄露

瞅瞅火狐浏览器的安全配置吧,有些内置安全dns

1 Like

目前依然没有解决

这个地方一开始就设置成了关闭,使用默认DNS解析器

目前就是在用手动配socks的方式来避免侧漏,问题是之前用的好好的没问题,虚拟机环境也没问题,设置成使用系统代理,完全正常符合预期

感觉火狐默认DNS还是走了系统的DNS配置,其实改成最大保护就行了;我测试用clash verge的tun模式还是有DNS泄露,试了下OpenVPN是没有泄露的。

1 Like

用MOSDNS,不用CLASH的DNS解释

1 Like

试过tun模式吗?用ipleak测一下泄露没有?你截图里的国内dns服务器有点像运营商分配的dns???

还有,你发出来的配置写的不是阿里和腾讯的dns吗,又怎么会出现google的dns???实在不行就把火狐的dns设置成最大保护,不经过系统dns…

主要还是分流规则的问题

Windows有个 多宿主域名解析 ,你去组策略里把这个关掉再试试

1 Like

全局模式下也漏,其实跟那段配置关系不大了,出现Google的是因为代理服务器的dns,试过不同的检测网站结果都一样

解决方法目前有多种比如手动配socks,或者火狐里DNS设置成最大保护,或者其他外部DNS方案等等

就是我想解决系统代理匹配firefox.exe进程的方式,为什么会侧漏。因为以前是正常的,虚拟机同样的环境也是正常的,太令人困惑了

windows下的tun模式,不关 <多宿主域名解析> 就是会漏,感谢window这个大聪明吧 :innocent:

1 Like

image
这个一开始就禁用了