这里聊的是分流策略,不是 fakeip 、bgp 、ospf 、ipset 、ipt 、nft 等分流用到的技术手段,也不是 sing-box 、mihomo 等核心,更不是 openclash ,小猫咪等集成代理工具。
首先要确定分流的对象,互联网上的访问需要分流的,就是域名,没有对应域名纯 IP 访问的场景极其有限,可以做特殊处理。
分流总体上可以分为 2 类,直连和代理,需要代理的域名就直接引入到 sing-box/mihomo 等代理程序中进一步分流即可,代理程序按域名分流十分成熟了。
那如何判断一个域名需要代理呢?目前有各种域名列表,直连域名列表、gfwlist ,基本上覆盖了大部分常用的域名,重点是那些没在域名列表中的域名,虽然访问的机率小,其实是海量的,永远也无法维护完全的。
于是就产生了白名单和黑名单 2 种模式,即不在列表中的域名,要么全走国内 dns 解析,要么全走国外 dns 解析。可能遇到尴尬的场景,黑名单模式下,某个人个博客不在 gfwlist 列表中,无法访问,需要手动添加域名至 gfwlist ;白名单模式下,某国内购物网站突然定位到了国外,出停车场时扫码付费一直在转圈,因为小程序的域名 xxx.top 只做了国内解析,国外 dns 压根没解析结果。
对于这种尴尬,解决的办法有两种
1:列表外域名国内 dns 解析,解析结果为国外 IP/无 IP 的,使用国外 dns 再解析一次,速度快,dns 有泄露。
2:列表外域名国外 dns 解析,附加上国内 ip 作为 ecs ip ,速度慢,结果可能不够精确,dns 无泄露。
当然还有很多细节问题,比如方法 2 就无法解决国外 dns 无解析结果的情况,需要回落到国内 dns 做 2 次解析,可以添加过期缓存来保存分流结果等等等等,需要慢慢打磨。
以上 2 种方法,对域名列表的依赖度大大降低了,基本上可以自动分流不在列表中的域名,分流精度大大提高,体验极佳。
推荐方法 1 ,速度快,dns 逻辑处理起来更简单。
首先要确定分流的对象,互联网上的访问需要分流的,就是域名,没有对应域名纯 IP 访问的场景极其有限,可以做特殊处理。
分流总体上可以分为 2 类,直连和代理,需要代理的域名就直接引入到 sing-box/mihomo 等代理程序中进一步分流即可,代理程序按域名分流十分成熟了。
那如何判断一个域名需要代理呢?目前有各种域名列表,直连域名列表、gfwlist ,基本上覆盖了大部分常用的域名,重点是那些没在域名列表中的域名,虽然访问的机率小,其实是海量的,永远也无法维护完全的。
于是就产生了白名单和黑名单 2 种模式,即不在列表中的域名,要么全走国内 dns 解析,要么全走国外 dns 解析。可能遇到尴尬的场景,黑名单模式下,某个人个博客不在 gfwlist 列表中,无法访问,需要手动添加域名至 gfwlist ;白名单模式下,某国内购物网站突然定位到了国外,出停车场时扫码付费一直在转圈,因为小程序的域名 xxx.top 只做了国内解析,国外 dns 压根没解析结果。
对于这种尴尬,解决的办法有两种
1:列表外域名国内 dns 解析,解析结果为国外 IP/无 IP 的,使用国外 dns 再解析一次,速度快,dns 有泄露。
2:列表外域名国外 dns 解析,附加上国内 ip 作为 ecs ip ,速度慢,结果可能不够精确,dns 无泄露。
当然还有很多细节问题,比如方法 2 就无法解决国外 dns 无解析结果的情况,需要回落到国内 dns 做 2 次解析,可以添加过期缓存来保存分流结果等等等等,需要慢慢打磨。
以上 2 种方法,对域名列表的依赖度大大降低了,基本上可以自动分流不在列表中的域名,分流精度大大提高,体验极佳。
推荐方法 1 ,速度快,dns 逻辑处理起来更简单。
第 1 条附言 · 1 天前
54 条回复 • 2024-11-21 16:02:06 +08:00
 |
1
yyysuo OP 再多说几句,主题是如何分流,其实分流完成后,对于需要代理的域名发 fakeip 直接远程解析即可,不需要使用解析出来的 ip ,否则有可能出现 8888 走了美国代理,解析出对美国友好的 IP ,奈飞选了新加坡节点,要么速度慢,要么解锁失败的情况。
|
 |
2
gfreezy 1 天前
自动探测,同时建立 2 个连接:通过代理和直连。哪个先建立成功就用哪个。然后缓存结果,下一次直接使用缓存的结果,同时再探测一下更新缓存。
除了 DNS 污染的极端情况,不需要黑名单也不需要白名单 |
 |
3
xiaooloong 1 天前
或者只做 ip 分流,然后自建递归 dns
 |
|
4
yyysuo OP @xiaooloong ip 哪来的呢?逃不开 dns 的,既然 dns 都能分好了,就不需要 ip 再分一次。
|
 |
6
Kinnice 1 天前
拿几乎不要钱的国内 阿里云/腾讯云 VPS, 自建了 DNS (doh/dot)服务器, 支持 ECS
- 国内域名名单直接走支持 ECS 的国内 DNS - 其他域名走支持 ECS 的境外 DNS ( ip 直连的 doh ) - 乐观 cache - ttl ++ 本地也不用跑一堆东西 解析到的 IP 始终是纯净的 境内的话是归属地友好 mihomo/sb 等都支持嗅探,因此给到代理服务器的还是域名,不用担心流媒体异常 |
 |
10
jqtmviyu 1 天前
我现在是
国内白名单, 用国内 dns 名单外先用国外 dns, 附带 ecs, 如果解析为国内, 再用国内 dns 解析一次. 分流策略最终还是要结合工具的. 你说的方法, 光靠 clash 我没想到该怎么实现. |
 |
12
wu67 1 天前
国内域名 ip 直连, 其他全部代理. 自己用的规则自己维护就行.
|
 |
16
ljn917 1 天前 via Android
国内 DNS 解析出国外的 IP ,或者国外 DNS 解析出国内,这两种是可以确定最佳策略的。其他两种情况就只能手动列表。
|
 |
17
isAK47 1 天前
国内 IP 直连,非国内 IP 走代理,不需要什么域名列表
|
|
18
xiaooloong 1 天前
@yyysuo #4 ip 从 dns 来是因为用的 dns 缓存服务器。递归交给外部网络做了。
企业级别的防火墙或者网关的 dns 服务都是支持自己做递归,直接去域名权威 dns 上查询结果的。这样 dns 就是从 ip 来的了。只用做 IP 分流即可。 |
|
19
yyysuo OP  1
@xiaooloong 递归没缓存很慢吧,特别是第一次访问的时候。这真是另外一条赛道了,看他们搞 bgp 分流,据说体验也不错,不过门槛比较高。
|
 |
20
beijiaoff 1 天前
说句没啥建设意义的情绪话,没有 100%完美的方案,复杂度、易用性、有效性的三角。要是没有墙就好了
|
|
21
yyysuo OP @beijiaoff 没说完美啊,现状下仅从体验来讲最好的,家里路由上部署全透明,ios 侧 sing-box 从来不关,国内国外没遇到卡顿访问不了的情况,可以了。
|
 |
22
vinsony 23 小时 46 分钟前
我是国内域名国内 dns 解析,国外域名国外 dns 解析,不在列表内的域名国内外同时解析连速度最快的那个,代理根据 IP 分流
|
 |
23
hzw 23 小时 39 分钟前
国内的对象全部直连 国外的对象全部代理
不就行了吗 也是很简单的策略 一句话就说清楚了呀 dns 是后面的具体操作了 直连的走 ali 企鹅的 public dns ,代理么就都不用管了 至于怎么判断直连代理 其实也不难的 就是你说的黑白名单,国内走白名单,白名单外全部代理 国内白名单用 geo 库,基本是全部覆盖的 感觉现在分流不是什么大问题 |
 |
24
bigshawn 23 小时 36 分钟前
不太懂,但是感觉跟 sing-box 的 dns 规则挺像的
|
 |
27
NoCloud 22 小时 9 分钟前
感觉对普通人来说,都不用考虑泄露的问题,速度和准确性优先就完事了。
被重点关注、因为 DNS 泄露了访问记录就会被盯上的网站基本都在 gfwlist 上了;其他的有一两只漏网之鱼也无所谓。 真踩红线了,就算全局也没用。 |
 |
28
basncy 22 小时 3 分钟前
@Kinnice #8 @gfreezy #2 @yyysuo #13
bing.com 和 部分 adtrafficquality.google 等, 都能解析到正确 ip , 但国内外提供的服务不一样。 |
 |
30
JustdoitSoso 20 小时 31 分钟前 via Android
我用的代理软件是 clash ,clash 可以用这个吗?如果问题太白痴了可以不回答,我也在线 dns 解决方案。暂时没真找到自己想到的……
|
 |
32
povsister 17 小时 57 分钟前
唉。fakeip
|
 |
34
xpn282 15 小时 12 分钟前 via iPhone
早就不玩 dns 了,dns 只用运营商的了
现在整体思路就是,国内域名和 ip 直连,其他全部代理。其中黑名单的域名本地不解析,足够了,不搞那些有得没得,使用下来毫无意义,对我而言 |
 |
35
frankilla 14 小时 27 分钟前 via iPhone
同楼上,折腾这么几年根本不想折腾了,而且泄露真的很重要吗,一点也不。
|
 |
37
likai 10 小时 2 分钟前 via Android
最近刚玩分流碰到一个问题。
一个用了 cdn 的威尼斯网站, 国内正常可访问, 禁止代理访问。 用上分流之后,就访问不了了。 将域名和 cname 域名加白名单都没用。 |
 |
39
SodaPopBoy 8 小时 31 分钟前 via Android
而我,只想抄作业
|
|
40
yyysuo OP @SodaPopBoy append 里面有作业,你抄不抄?
|
 |
41
maybeonly 8 小时 5 分钟前
我现在的实现是这样的:
基础的还是白名单+ip 分流+自建递归 +黑名单直接用 1111 解析的 然后每天在 gww (宽带出口)上收集来自递归服务器的访问 udp 53 端口的请求 夜里解析这些域名,然后动态扩充白名单。 这些累积的白名单目前是 3 个月校对一次 基本逻辑还是那个:有任何一层权威在墙内的就算墙内域名。 实际上遇到过的问题:有些域名在 dnspod 或者 ali 上,但是只能通过海外访问,这些就得手工配置了…… |
|
42
yyysuo OP @maybeonly
自动扩充域名列表我是直接在 mosdns 配置 lazy_cache (过期缓存/分流结果)并永久保存来实现的,家庭使用,目前的条目数没超过 2 万条,mosdns 处理这点数据是没有压力的,其它方案规则数据量多了,不知道效率如何。 我目前域名基本上都是自动处理,极少需要(基本没有)手动添加规则,不明白你说的只能海外访问的域名是哪类,像这种吗? https://www.fx168news.com/ |
 |
43
wm5d8b 7 小时 54 分钟前 via Android
现在不少国外域名使用的 cdn ,在国内有了节点,直接访问速度比代理不知道高到哪里去了。
但是呢,这个国内节点你得使用运营商的 dns 才能解析到。而且这个国内节点不是电信联通移动都能解析并访问,可能只有其中一两家能访问,其他运营商还是得访问国外的 cdn 节点,这样还是得走代理,否则慢得不能接受。 就这个情况,要自己一个人不断维护不太现实。因为大家使用的运营商不一样,相同运营商南方北方还不一样,也就杜绝了共同维护一份的可能。 以上情况和墙完全没关系,纯纯就是访问速度带来的分流问题了,没有能解决的方案 |
 |
45
Goooooos 7 小时 8 分钟前
纯 IP 的例子很多
1. telegram 2. 软件内建的 httpdns |
|
46
yyysuo OP @Goooooos 我主帖说了纯 IP 特殊处理,目前已知的是国外 dns ip 、电报 ip 、奈飞安卓 tv 端 ip ,其它暂时没发现; httpdns 知道了也管不了,也不用管。
|
 |
47
lw4free 5 小时 51 分钟前 1
目前我的 dns 是这样实现的
1:广告域名拦截 2:国外黑名单走 fakeIP 3:国内白名单走运营商 dns 查询 4:其它域名先走运营商 dns 查询,结果如果不匹配国内 IP 再走 fakeIP 设定 fakeIP 持久化 ttl 为 10 秒 |
|
48
yyysuo OP @lw4free 棒,咱俩一样,说分流的事儿,我就没在主帖中提 fakeip ,我 fakeip ttl 是 1 秒,理论上不持久化也行,不过还是持久化的好,要不然安卓 tv 看奈飞会转圈。
|
|
52
yyysuo OP @likai 加了白名单是可以的,确实屏蔽了代理访问。
nkvod.com 2406:da18:2d6:bf00:6957:2a07:7286:c0ac hm.baidu.com 2408:871a:2100:10ea:0:ff:b011:69 media-gslz-fy-home.gs7oss.ctyunxs.cn 240e:935:a04:1001::3 pic.rmb.bdstatic.com 2408:8726:7000::3cdd:1223 qb.xn--it-if7c19g5s4bps5c.com 121.62.31.111 |
Select Language