Clash Verge logo Clash Verge开源跨平台代理客户端

核心功能

DNS 设置与防泄漏:fake-ip 机制解释

发布于 · 更新于 · 2 分钟读完

DNS 是代理链路里最容易被忽视的一环:流量走了加密隧道,域名解析却明文发给了本地运营商——这就是 DNS 泄漏,它会暴露你访问了哪些网站。Clash Verge 默认配置已经做了防护,这篇讲清楚它是怎么工作的,以及哪些设置不要乱动。

fake-ip 模式下,真实域名解析发生在代理服务器一端
fake-ip 模式下,真实域名解析发生在代理服务器一端

fake-ip:默认且推荐

应用发起 DNS 查询时,内核并不真的去解析,而是立刻返回一个保留段的假地址(198.18.0.0/16)。应用拿着假 IP 发起连接,内核收到后反查出对应域名,再按域名走规则——需要代理的,把域名直接发给节点,由节点在远端解析。整个过程里,被代理域名的解析从未在本地发生,自然无从泄漏。

好处还有速度:省去了等待真实解析的时间,建连更快。

redir-host:兼容模式

内核真实解析域名后返回真 IP。兼容性好一点(个别程序不适应假 IP),但解析行为发生在本地,需要额外配置加密 DNS 才能防泄漏。除非遇到明确的兼容问题,没有理由换它。

fake-ip-filter:该直连解析的域名

有些域名必须拿到真 IP 才能正常工作,典型的有局域网设备、NTP 时间同步、部分游戏登录。默认配置已包含常用白名单,需要补充时在Merge 配置里写:

dns:
  fake-ip-filter:
    - "*.lan"
    - "+.ntp.org"
    - "+.stun.*.*"
    - "+.mynas.example.com"

验证有没有泄漏

挂上代理访问 dnsleaktest.com 跑 Standard Test:结果里只出现节点所在地区的 DNS 服务器就是安全的;混进了你本地运营商的服务器,说明存在泄漏——检查是否用了 redir-host,或 TUN 模式的 DNS 劫持被关掉了(见 TUN 参数说明)。

注意

别在系统网卡上手动填公共 DNS(8.8.8.8 之类)来「优化」,这会绕过内核的 DNS 处理,反而制造泄漏。DNS 的事交给内核。

还没有安装 Clash Verge?

Windows 64 位安装包 · v2.5.1 · 免费开源

下载 v2.5.1