核心功能
DNS 设置与防泄漏:fake-ip 机制解释
DNS 是代理链路里最容易被忽视的一环:流量走了加密隧道,域名解析却明文发给了本地运营商——这就是 DNS 泄漏,它会暴露你访问了哪些网站。Clash Verge 默认配置已经做了防护,这篇讲清楚它是怎么工作的,以及哪些设置不要乱动。
fake-ip:默认且推荐
应用发起 DNS 查询时,内核并不真的去解析,而是立刻返回一个保留段的假地址(198.18.0.0/16)。应用拿着假 IP 发起连接,内核收到后反查出对应域名,再按域名走规则——需要代理的,把域名直接发给节点,由节点在远端解析。整个过程里,被代理域名的解析从未在本地发生,自然无从泄漏。
好处还有速度:省去了等待真实解析的时间,建连更快。
redir-host:兼容模式
内核真实解析域名后返回真 IP。兼容性好一点(个别程序不适应假 IP),但解析行为发生在本地,需要额外配置加密 DNS 才能防泄漏。除非遇到明确的兼容问题,没有理由换它。
fake-ip-filter:该直连解析的域名
有些域名必须拿到真 IP 才能正常工作,典型的有局域网设备、NTP 时间同步、部分游戏登录。默认配置已包含常用白名单,需要补充时在Merge 配置里写:
dns:
fake-ip-filter:
- "*.lan"
- "+.ntp.org"
- "+.stun.*.*"
- "+.mynas.example.com"
验证有没有泄漏
挂上代理访问 dnsleaktest.com 跑 Standard Test:结果里只出现节点所在地区的 DNS 服务器就是安全的;混进了你本地运营商的服务器,说明存在泄漏——检查是否用了 redir-host,或 TUN 模式的 DNS 劫持被关掉了(见 TUN 参数说明)。
注意
别在系统网卡上手动填公共 DNS(8.8.8.8 之类)来「优化」,这会绕过内核的 DNS 处理,反而制造泄漏。DNS 的事交给内核。
还没有安装 Clash Verge?
下载 v2.5.1Windows 64 位安装包 · v2.5.1 · 免费开源