优化 DNS 分流和 DNS 防泄漏配置

DustinWin · DustinWin · commit 6ffd7af745ad · 2025-12-08T16:28:35.000Z
diff --git a/_posts/2024-08-21-dnsbypass-mihomo-geodata.md b/_posts/2024-08-21-dnsbypass-mihomo-geodata.md
@@ -10,7 +10,7 @@ tags: [Clash, mihomo, 进阶, DNS, DNS 分流]
 {: .prompt-tip }
 1. 使用 [ShellCrash](https://github.com/juewuy/ShellCrash) 搭配 [AdGuard Home](https://github.com/AdguardTeam/AdGuardHome) 并将 AdGuard Home 作为上游时不要使用该方法
 2. 本教程以 ShellCrash 为例，其它客户端亦可参考
-3. DNS 分流简单来说就是**指定国内域名走国内 DNS 解析，其它域名包括国外域名都走 `fake-ip`，未知域名走国内 DNS 解析，解析出 IP 在国内则走 `🀄️ 直连 IP` 规则，否则走 `🐟 漏网之鱼` 规则**
+3. DNS 分流简单来说就是**指定国内域名走国内 DNS 解析，国外域名走 `fake-ip`**。未知域名也走 `fake-ip`（在匹配 `rules.GEOIP:cn` 规则时会由国内 DNS 解析，解析出 IP 在国内则走 `🀄️ 直连 IP` 规则，否则走 `🐟 漏网之鱼` 规则）
 4. 部分用户觉得未知域名处理方式会导致 DNS 泄露，可参考《[搭载 mihomo 内核配置 DNS 不泄露教程-geodata 方案](https://proxy-tutorials.dustinwin.us.kg/posts/dnsnoleaks-mihomo-geodata)》
 
 ## 一、 导入路由规则文件
@@ -35,9 +35,9 @@ dns:
   prefer-h3: true
   ipv6: true
   listen: 0.0.0.0:1053
+  enhanced-mode: fake-ip
   fake-ip-range: 28.0.0.1/8
   fake-ip-range6: fc00::/16
-  enhanced-mode: fake-ip
   fake-ip-filter: ['geosite:fakeip-filter,cn']
   nameserver:
     - https://dns.alidns.com/dns-query
diff --git a/_posts/2024-08-21-dnsbypass-mihomo-ruleset.md b/_posts/2024-08-21-dnsbypass-mihomo-ruleset.md
@@ -10,7 +10,7 @@ tags: [Clash, mihomo, 进阶, DNS, DNS 分流]
 {: .prompt-tip }
 1. 使用 [ShellCrash](https://github.com/juewuy/ShellCrash) 搭配 [AdGuard Home](https://github.com/AdguardTeam/AdGuardHome) 并将 AdGuard Home 作为上游时不要使用该方法
 2. 本教程以 ShellCrash 为例，其它客户端亦可参考
-3. DNS 分流简单来说就是**指定国内域名走国内 DNS 解析，其它域名包括国外域名都走 `fake-ip`，未知域名走国内 DNS 解析，解析出 IP 在国内则走 `🀄️ 直连 IP` 规则，否则走 `🐟 漏网之鱼` 规则**
+3. DNS 分流简单来说就是**指定国内域名走国内 DNS 解析，国外域名走 `fake-ip`**。未知域名也走 `fake-ip`（在匹配 `rules.RULE-SET:cn` 规则时会由国内 DNS 解析，解析出 IP 在国内则走 `🀄️ 直连 IP` 规则，否则走 `🐟 漏网之鱼` 规则）
 4. 部分用户觉得未知域名处理方式会导致 DNS 泄露，可参考《[搭载 mihomo 内核配置 DNS 不泄露教程-ruleset 方案](https://proxy-tutorials.dustinwin.us.kg/posts/dnsnoleaks-mihomo-ruleset)》
 
 ## 一、 导入规则集合文件
@@ -54,9 +54,9 @@ dns:
   prefer-h3: true
   ipv6: true
   listen: 0.0.0.0:1053
+  enhanced-mode: fake-ip
   fake-ip-range: 28.0.0.1/8
   fake-ip-range6: fc00::/16
-  enhanced-mode: fake-ip
   fake-ip-filter: ['rule-set:fakeip-filter,cn']
   nameserver:
     - https://dns.alidns.com/dns-query
diff --git a/_posts/2024-08-21-dnsnoleaks-mihomo-geodata.md b/_posts/2024-08-21-dnsnoleaks-mihomo-geodata.md
@@ -8,7 +8,7 @@ tags: [Clash, mihomo, 进阶, DNS, DNS 泄露]
 
 > 说明
 {: .prompt-tip }
-1. 此方案彻底防止了 DNS 泄露（针对未知域名走国外 DNS 解析，解析出 IP 在国内则走 `🀄️ 直连 IP` 规则，否则走 `🐟 漏网之鱼` 规则），兼容性无法保证，请慎用
+1. 此方案彻底防止了 DNS 泄露（未知域名在匹配 `rules.GEOIP:cn` 规则时会走国外 DNS 解析且配置 `ecs`，解析出 IP 在国内则走 `🀄️ 直连 IP` 规则，否则走 `🐟 漏网之鱼` 规则），兼容性高，可放心使用
 2. 本教程以 [ShellCrash](https://github.com/juewuy/ShellCrash) 为例，其它客户端亦可参考
 3. 可进入 <https://ipleak.net> 测试 DNS 是否泄露，“DNS Addresses” 栏目下没有中国国旗（因 `ipleak.net` 属未知域名，默认走 `🐟 漏网之鱼` 规则），即代表 DNS 没有发生泄露
 
@@ -20,7 +20,7 @@ geosite.dat 文件须包含 `fakeip-filter` 和 `cn`，推荐导入我定制的[
 <img src="/assets/img/dns/dns-null.png" alt="ShellCrash 设置" width="60%" />
 
 ## 三、 DNS 防泄漏配置
-### 1. DNS 模式为 `mix` 并配置 `ecs`（推荐）
+### 1. DNS 模式为 `mix`（推荐）
 连接 SSH 后执行 `vi $CRASHDIR/yamls/user.yaml`，按一下 Ins 键（Insert 键），粘贴如下内容：
 >推荐将 `ecs` 设置为当前网络的公网 IP 段，如当前网络公网 IP 为 `202.103.17.123`，可设置为 `202.103.17.0/24`（后续维护更新可直接执行命令 `sed -i -E "s/(ecs=)[0-9.]+\/[0-9]+/\1$(curl -s 4.ipw.cn | cut -d. -f1-3).0\/24/" $CRASHDIR/yamls/user.yaml`）
 {: .prompt-info }
@@ -36,9 +36,9 @@ dns:
   enable: true
   ipv6: true
   listen: 0.0.0.0:1053
+  enhanced-mode: fake-ip
   fake-ip-range: 28.0.0.1/8
   fake-ip-range6: fc00::/16
-  enhanced-mode: fake-ip
   fake-ip-filter: ['geosite:fakeip-filter,cn']
   respect-rules: true
   nameserver:
@@ -55,39 +55,7 @@ dns:
 
 按一下 Esc 键（退出键），输入英文冒号 `:`，继续输入 `wq` 并回车
 
-### 2. DNS 模式为 `mix`
-连接 SSH 后执行 `vi $CRASHDIR/yamls/user.yaml`，按一下 Ins 键（Insert 键），粘贴如下内容：
-
-```yaml
-hosts:
-  dns.alidns.com: [223.5.5.5, 223.6.6.6, 2400:3200::1, 2400:3200:baba::1]
-  doh.pub: [1.12.12.12, 1.12.12.21, 120.53.53.53]
-  dns.google: [8.8.8.8, 8.8.4.4, 2001:4860:4860::8888, 2001:4860:4860::8844]
-  cloudflare-dns.com: [1.1.1.1, 1.0.0.1, 2606:4700:4700::1111, 2606:4700:4700::1001]
-
-dns:
-  enable: true
-  ipv6: true
-  listen: 0.0.0.0:1053
-  fake-ip-range: 28.0.0.1/8
-  fake-ip-range6: fc00::/16
-  enhanced-mode: fake-ip
-  fake-ip-filter: ['geosite:fakeip-filter,cn']
-  respect-rules: true
-  nameserver:
-    - https://dns.google/dns-query
-    - https://cloudflare-dns.com/dns-query
-  proxy-server-nameserver:
-    - https://dns.alidns.com/dns-query
-    - https://doh.pub/dns-query
-  direct-nameserver:
-    - https://dns.alidns.com/dns-query
-    - https://doh.pub/dns-query
-```
-
-按一下 Esc 键（退出键），输入英文冒号 `:`，继续输入 `wq` 并回车
-
-### 3. DNS 模式为 `fake-ip`
+### 2. DNS 模式为 `fake-ip`（不推荐）
 - ① 额外编辑配置文件，在《[生成带有自定义策略组和规则的 mihomo 配置文件直链-geodata 方案/添加模板](https://proxy-tutorials.dustinwin.us.kg/posts/link-mihomo-geodata/#%E4%BA%8C-%E6%B7%BB%E5%8A%A0%E6%A8%A1%E6%9D%BF)》编辑 .yaml 配置文件时，将 `rules` 里的所有 `GEOIP` 规则末尾加上 `no-resolve`，即修改为：
 
   ```yaml
@@ -107,39 +75,42 @@ dns:
     prefer-h3: true
     ipv6: true
     listen: 0.0.0.0:1053
+    enhanced-mode: fake-ip
     fake-ip-range: 28.0.0.1/8
     fake-ip-range6: fc00::/16
-    enhanced-mode: fake-ip
     fake-ip-filter: ['geosite:fakeip-filter']
     nameserver:
       - https://dns.alidns.com/dns-query
       - https://doh.pub/dns-query
   ```
 
-- ③ 按一下 Esc 键（退出键），输入英文冒号 `:`，继续输入 `wq` 并回车
+  按一下 Esc 键（退出键），输入英文冒号 `:`，继续输入 `wq` 并回车
 
-### 4. DNS 模式为 `redir-host`
+### 3. DNS 模式为 `redir-host`
 连接 SSH 后执行 `vi $CRASHDIR/yamls/user.yaml`，按一下 Ins 键（Insert 键），粘贴如下内容：
+>推荐将 `ecs` 设置为当前网络的公网 IP 段，如当前网络公网 IP 为 `202.103.17.123`，可设置为 `202.103.17.0/24`（后续维护更新可直接执行命令 `sed -i -E "s/(ecs=)[0-9.]+\/[0-9]+/\1$(curl -s 4.ipw.cn | cut -d. -f1-3).0\/24/" $CRASHDIR/yamls/user.yaml`）
+{: .prompt-info }
 
 ```yaml
 hosts:
   dns.alidns.com: [223.5.5.5, 223.6.6.6, 2400:3200::1, 2400:3200:baba::1]
   doh.pub: [1.12.12.12, 1.12.12.21, 120.53.53.53]
   dns.google: [8.8.8.8, 8.8.4.4, 2001:4860:4860::8888, 2001:4860:4860::8844]
-  cloudflare-dns.com: [1.1.1.1, 1.0.0.1, 2606:4700:4700::1111, 2606:4700:4700::1001]
+  dns11.quad9.net: [9.9.9.11, 149.112.112.11, 2620:fe::11, 2620:fe::fe:11]
 
 dns:
   enable: true
   ipv6: true
   listen: 0.0.0.0:1053
+  enhanced-mode: fake-ip
   fake-ip-range: 28.0.0.1/8
   fake-ip-range6: fc00::/16
-  enhanced-mode: fake-ip
   fake-ip-filter: ['+.*']
   respect-rules: true
   nameserver:
-    - https://dns.google/dns-query
-    - https://cloudflare-dns.com/dns-query
+    # 推荐将 `ecs` 设置为当前网络的公网 IP 段
+    - 'https://dns.google/dns-query#ecs=202.103.17.0/24'
+    - 'https://dns11.quad9.net/dns-query#ecs=202.103.17.0/24'
   proxy-server-nameserver:
     - https://dns.alidns.com/dns-query
     - https://doh.pub/dns-query
diff --git a/_posts/2024-08-21-dnsnoleaks-mihomo-ruleset.md b/_posts/2024-08-21-dnsnoleaks-mihomo-ruleset.md
@@ -8,7 +8,7 @@ tags: [Clash, mihomo, 进阶, DNS, DNS 泄露]
 
 > 说明
 {: .prompt-tip }
-1. 此方案彻底防止了 DNS 泄露（针对未知域名走国外 DNS 解析，解析出 IP 在国内则走 `🀄️ 直连 IP` 规则，否则走 `🐟 漏网之鱼` 规则），兼容性无法保证，请慎用
+1. 此方案彻底防止了 DNS 泄露（未知域名在匹配 `rules.RULE-SET:cn` 规则时会走国外 DNS 解析且配置 `ecs`，解析出 IP 在国内则走 `🀄️ 直连 IP` 规则，否则走 `🐟 漏网之鱼` 规则），兼容性高，可放心使用
 2. 本教程以 [ShellCrash](https://github.com/juewuy/ShellCrash) 为例，其它客户端亦可参考
 3. 可进入 <https://ipleak.net> 测试 DNS 是否泄露，“DNS Addresses” 栏目下没有中国国旗（因 `ipleak.net` 属未知域名，默认走 `🐟 漏网之鱼` 规则），即代表 DNS 没有发生泄露
 
@@ -39,7 +39,7 @@ rule-providers:
 <img src="/assets/img/dns/dns-null.png" alt="ShellCrash 设置" width="60%" />
 
 ## 三、 DNS 防泄漏配置
-### 1. DNS 模式为 `mix` 并配置 `ecs`（推荐）
+### 1. DNS 模式为 `mix`（推荐）
 连接 SSH 后执行 `vi $CRASHDIR/yamls/user.yaml`，按一下 Ins 键（Insert 键），粘贴如下内容：
 >推荐将 `ecs` 设置为当前网络的公网 IP 段，如当前网络公网 IP 为 `202.103.17.123`，可设置为 `202.103.17.0/24`（后续维护更新可直接执行命令 `sed -i -E "s/(ecs=)[0-9.]+\/[0-9]+/\1$(curl -s 4.ipw.cn | cut -d. -f1-3).0\/24/" $CRASHDIR/yamls/user.yaml`）
 {: .prompt-info }
@@ -55,9 +55,9 @@ dns:
   enable: true
   ipv6: true
   listen: 0.0.0.0:1053
+  enhanced-mode: fake-ip
   fake-ip-range: 28.0.0.1/8
   fake-ip-range6: fc00::/16
-  enhanced-mode: fake-ip
   fake-ip-filter: ['rule-set:fakeip-filter,cn']
   respect-rules: true
   nameserver:
@@ -74,39 +74,7 @@ dns:
 
 按一下 Esc 键（退出键），输入英文冒号 `:`，继续输入 `wq` 并回车
 
-### 2. DNS 模式为 `mix`
-连接 SSH 后执行 `vi $CRASHDIR/yamls/user.yaml`，按一下 Ins 键（Insert 键），粘贴如下内容：
-
-```yaml
-hosts:
-  dns.alidns.com: [223.5.5.5, 223.6.6.6, 2400:3200::1, 2400:3200:baba::1]
-  doh.pub: [1.12.12.12, 1.12.12.21, 120.53.53.53]
-  dns.google: [8.8.8.8, 8.8.4.4, 2001:4860:4860::8888, 2001:4860:4860::8844]
-  cloudflare-dns.com: [1.1.1.1, 1.0.0.1, 2606:4700:4700::1111, 2606:4700:4700::1001]
-
-dns:
-  enable: true
-  ipv6: true
-  listen: 0.0.0.0:1053
-  fake-ip-range: 28.0.0.1/8
-  fake-ip-range6: fc00::/16
-  enhanced-mode: fake-ip
-  fake-ip-filter: ['rule-set:fakeip-filter,cn']
-  respect-rules: true
-  nameserver:
-    - https://dns.google/dns-query
-    - https://cloudflare-dns.com/dns-query
-  proxy-server-nameserver:
-    - https://dns.alidns.com/dns-query
-    - https://doh.pub/dns-query
-  direct-nameserver:
-    - https://dns.alidns.com/dns-query
-    - https://doh.pub/dns-query
-```
-
-按一下 Esc 键（退出键），输入英文冒号 `:`，继续输入 `wq` 并回车
-
-### 3. DNS 模式为 `fake-ip`
+### 2. DNS 模式为  `fake-ip`（不推荐）
 - ① 额外编辑配置文件
   在《[生成带有自定义策略组和规则的 mihomo 配置文件直链-ruleset 方案/添加模板](https://proxy-tutorials.dustinwin.us.kg/posts/link-mihomo-ruleset/#%E4%BA%8C-%E6%B7%BB%E5%8A%A0%E6%A8%A1%E6%9D%BF)》编辑 .yaml 配置文件时，将 `rules` 里所有 IP 相关的规则末尾加上 `no-resolve`，即修改为：
 
@@ -128,39 +96,42 @@ dns:
     prefer-h3: true
     ipv6: true
     listen: 0.0.0.0:1053
+    enhanced-mode: fake-ip
     fake-ip-range: 28.0.0.1/8
     fake-ip-range6: fc00::/16
-    enhanced-mode: fake-ip
     fake-ip-filter: ['rule-set:fakeip-filter']
     nameserver:
       - https://dns.alidns.com/dns-query
       - https://doh.pub/dns-query
   ```
 
-- ③ 按一下 Esc 键（退出键），输入英文冒号 `:`，继续输入 `wq` 并回车
+  按一下 Esc 键（退出键），输入英文冒号 `:`，继续输入 `wq` 并回车
 
-### 4. DNS 模式为 `redir-host`
+### 3. DNS 模式为 `redir-host`
 连接 SSH 后执行 `vi $CRASHDIR/yamls/user.yaml`，按一下 Ins 键（Insert 键），粘贴如下内容：
+>推荐将 `ecs` 设置为当前网络的公网 IP 段，如当前网络公网 IP 为 `202.103.17.123`，可设置为 `202.103.17.0/24`（后续维护更新可直接执行命令 `sed -i -E "s/(ecs=)[0-9.]+\/[0-9]+/\1$(curl -s 4.ipw.cn | cut -d. -f1-3).0\/24/" $CRASHDIR/yamls/user.yaml`）
+{: .prompt-info }
 
 ```yaml
 hosts:
   dns.alidns.com: [223.5.5.5, 223.6.6.6, 2400:3200::1, 2400:3200:baba::1]
   doh.pub: [1.12.12.12, 1.12.12.21, 120.53.53.53]
   dns.google: [8.8.8.8, 8.8.4.4, 2001:4860:4860::8888, 2001:4860:4860::8844]
-  cloudflare-dns.com: [1.1.1.1, 1.0.0.1, 2606:4700:4700::1111, 2606:4700:4700::1001]
+  dns11.quad9.net: [9.9.9.11, 149.112.112.11, 2620:fe::11, 2620:fe::fe:11]
 
 dns:
   enable: true
   ipv6: true
   listen: 0.0.0.0:1053
+  enhanced-mode: fake-ip
   fake-ip-range: 28.0.0.1/8
   fake-ip-range6: fc00::/16
-  enhanced-mode: fake-ip
   fake-ip-filter: ['+.*']
   respect-rules: true
   nameserver:
-    - https://dns.google/dns-query
-    - https://cloudflare-dns.com/dns-query
+    # 推荐将 `ecs` 设置为当前网络的公网 IP 段
+    - 'https://dns.google/dns-query#ecs=202.103.17.0/24'
+    - 'https://dns11.quad9.net/dns-query#ecs=202.103.17.0/24'
   proxy-server-nameserver:
     - https://dns.alidns.com/dns-query
     - https://doh.pub/dns-query
diff --git a/_posts/2024-08-22-dnsbypass-singboxr-ruleset.md b/_posts/2024-08-22-dnsbypass-singboxr-ruleset.md
@@ -10,11 +10,11 @@ tags: [sing-box, sing-boxr, ShellCrash, ruleset, rule_set, 进阶, DNS, DNS 分
 {: .prompt-tip }
 1. [ShellCrash](https://github.com/juewuy/ShellCrash) 搭配 [AdGuard Home](https://github.com/AdguardTeam/AdGuardHome) 并将 AdGuard Home 作为上游时不要使用该方法
 2. 本教程以 ShellCrash 为例，其它客户端亦可参考
-3. DNS 分流简单来说就是**指定国内域名走国内 DNS 解析，国外域名走 `fake-ip`，未知域名走国内 DNS 解析，解析出 IP 在国内则走国内 DNS 解析和 `🀄️ 直连 IP` 规则，否则走 `fake-ip` 和 `🐟 漏网之鱼` 规则**
+3. DNS 分流简单来说就是**指定国内域名走国内 DNS 解析，国外域名走 `fakeip`**。未知域名也走 `fakeip`（在匹配 `route.rules.rule_set:cn` 规则时会由国内 DNS 解析，解析出 IP 在国内则走 `🀄️ 直连 IP` 规则，否则走 `🐟 漏网之鱼` 规则）
 4. 部分用户觉得未知域名处理方式会导致 DNS 泄露，可参考《[搭载 sing-boxr 内核配置 DNS 不泄露教程-ruleset 方案](https://proxy-tutorials.dustinwin.us.kg/posts/dnsnoleaks-singboxr-ruleset)》
 
 ## 一、 导入规则集合文件
-`route.rule_set` 须添加 `fakeip-filter`、`cn`、和 `proxy`，如下：
+`route.rule_set` 须添加 `fakeip-filter` 和 `cn`，如下：
 
 ```json
 {
@@ -33,13 +33,6 @@ tags: [sing-box, sing-boxr, ShellCrash, ruleset, rule_set, 进阶, DNS, DNS 分
         "format": "binary",
         "path": "./ruleset/cn.srs",
         "url": "https://github.com/DustinWin/ruleset_geodata/releases/download/sing-box-ruleset/cn.srs"
-      },
-      {
-        "tag": "proxy",
-        "type": "remote",
-        "format": "binary",
-        "path": "./ruleset/proxy.srs",
-        "url": "https://github.com/DustinWin/ruleset_geodata/releases/download/sing-box-ruleset/proxy.srs"
       }
     ]
   }
@@ -67,7 +60,7 @@ tags: [sing-box, sing-boxr, ShellCrash, ruleset, rule_set, 进阶, DNS, DNS 分
           "dns.google": [ "8.8.8.8", "8.8.4.4", "2001:4860:4860::8888", "2001:4860:4860::8844" ]
         }
       },
-      { "tag": "dns_resolver", "type": "https", "server": "223.5.5.5"},
+      { "tag": "dns_resolver", "type": "https", "server": "223.5.5.5" },
       { "tag": "dns_direct", "type": "quic", "server": "dns.alidns.com", "domain_resolver": "dns_resolver" },
       // `outbounds` 里必须存在 `🚀 节点选择`
       { "tag": "dns_proxy", "type": "https", "server": "dns.google", "domain_resolver": "dns_resolver", "detour": "🚀 节点选择" },
diff --git a/_posts/2024-08-22-dnsnoleaks-singboxr-ruleset.md b/_posts/2024-08-22-dnsnoleaks-singboxr-ruleset.md
