核心功能
DNS 設定與防洩漏:fake-ip 機制解釋
DNS 是代理鏈路裡最容易被忽視的一環:流量走了加密隧道,域名解析卻明文發給了本地運營商——這就是 DNS 洩漏,它會暴露你訪問了哪些網站。Clash Verge 預設設定已經做了防護,這篇講清楚它是怎麼工作的,以及哪些設定不要亂動。
fake-ip:預設且推薦
應用發起 DNS 查詢時,核心並不真的去解析,而是立刻返回一個保留段的假地址(198.18.0.0/16)。應用拿著假 IP 發起連線,核心收到後反查出對應域名,再按域名走規則——需要代理的,把域名直接發給節點,由節點在遠端解析。整個過程裡,被代理域名的解析從未在本地發生,自然無從洩漏。
好處還有速度:省去了等待真實解析的時間,建連更快。
redir-host:相容模式
核心真實解析域名後返回真 IP。相容性好一點(個別程式不適應假 IP),但解析行為發生在本地,需要額外設定加密 DNS 才能防洩漏。除非遇到明確的相容問題,沒有理由換它。
fake-ip-filter:該直連解析的域名
有些域名必須拿到真 IP 才能正常工作,典型的有區域網裝置、NTP 時間同步、部分遊戲登入。預設設定已包含常用白名單,需要補充時在Merge 設定裡寫:
dns:
fake-ip-filter:
- "*.lan"
- "+.ntp.org"
- "+.stun.*.*"
- "+.mynas.example.com"
驗證有沒有洩漏
掛上代理訪問 dnsleaktest.com 跑 Standard Test:結果裡只出現節點所在地區的 DNS 伺服器就是安全的;混進了你本地運營商的伺服器,說明存在洩漏——檢查是否用了 redir-host,或 TUN 模式的 DNS 劫持被關掉了(見 TUN 引數說明)。
注意
別在系統網絡卡上手動填公共 DNS(8.8.8.8 之類)來「最佳化」,這會繞過核心的 DNS 處理,反而製造洩漏。DNS 的事交給核心。
還沒有安裝 Clash Verge?
下載 v2.5.1Windows 64 位安裝包 · v2.5.1 · 免費開源