发表于 2024年9月24日1年前 可用来代替 paopaodns 分流 配合 paopaogateway 或者 singbox 等 fakeip 网关实现分流科学上网 实测体验比 paopaodns 丝滑(不知道为什么 paopaodns 的国外解析 dns 全世界飞) 也许不是所有人都需要一个递归服务器 国内的 ISP 的 DNS 速度更快 打包产物: dns.zip 包含 mosdns+adg+compose 文件 修改配置后一键启动 核心思路: Mosdns:负责 DNS 分流查询,国内转发 ISP+阿里 国外通过 sock5 代理转发 cf+google (国内国外均有 2*2 组 dns 并行查询) AdGuard Home(ADG):负责 DNS 去广告+控制面板(不需要可以去除,仅使用 mosdns 也可以) DNS 泄漏: 所谓的 DNS 泄露国内节点,只是在 IP 分流时,查询了国内 DNS 引起,仅在理论上有安全问题。当然这个 DoH 使用境外服务器进行 IP 分流,完美解决泄漏问题 [DNS 分流与泄露分析 31] DNS 检测: 境内检测:https://nstool.netease.com 123 境外检测:DNS Leak Test - BrowserLeaks 99 DNS 泄露检测 这个可以查询 DNS 泄露情况 理想状态打开都是实际代理落地区域的 DNS 效果: adg 配置去广告和去 pcdn 黑名单 adg 不开启缓存( fakeip 需要 TTL 尽量短),如有需要在 mosdns 的 localdns 中设置 0 缓存实现 dns 查询 10s ,所有网站秒开 配置文件 下载分流所需文件 使用以下脚本,修改变量 v2dat_dir 为你的保存路径 (保存为 .sh 文件后, 记得 chmod +x xxx.sh 赋权): #!/bin/sh set -e # Exit if any command fails TMPDIR=$(mktemp -d) trap 'rm -rf "$TMPDIR"' EXIT # Ensure temporary directory is removed on script exit v2dat_dir=<自定义路径>/mosdns geodat_update() { curl --connect-timeout 5 -m 60 -kfSL -o "$TMPDIR/geoip.dat" "https://raw.githubusercontent.com/Loyalsoldier/geoip/release/geoip-only-cn-private.dat" curl --connect-timeout 5 -m 60 -kfSL -o "$TMPDIR/geosite.dat" "https://github.com/Loyalsoldier/v2ray-rules-dat/releases/latest/download/geosite.dat" \cp -a "$TMPDIR"/geoip.dat "$TMPDIR"/geosite.dat $v2dat_dir } # Unpack and process the data v2dat_dump() { mkdir -p "$v2dat_dir/rules/" curl -fSL -o "$v2dat_dir/v2dat" "https://raw.githubusercontent.com/xukecheng/scripts/main/v2dat" chmod +x "$v2dat_dir/v2dat" rm -f "$v2dat_dir/rules/geo"*.txt "$v2dat_dir/v2dat" unpack geoip -o "$v2dat_dir/rules/" -f cn "$v2dat_dir/geoip.dat" "$v2dat_dir/v2dat" unpack geosite -o "$v2dat_dir/rules/" -f apple -f cn -f 'geolocation-!cn' "$v2dat_dir/geosite.dat" rm -rf "$v2dat_dir/v2dat" } update_local_ptr() { curl --connect-timeout 5 -m 60 -kfSL -o "$v2dat_dir/rules/local-ptr.txt" "https://raw.githubusercontent.com/sbwml/luci-app-mosdns/v5/luci-app-mosdns/root/etc/mosdns/rule/local-ptr.txt" } geodat_update v2dat_dump update_local_ptr touch $v2dat_dir/rules/force-nocn.txt touch $v2dat_dir/rules/force-cn.txt # force-cn 是强制本地解析域名,force-nocn 是强制非本地解析域名 echo "localhost 127.0.0.1" >> $v2dat_dir/rules/hosts.txt 说明( hosts 可以自定义域名解析,force-cn.txt 为强制转发国内 dns ,force-nocn.txt 为强制转发国外 DNS ,请自行修改,格式为 mosdns 标准格式) chmod +x xxx.sh ./xxx.sh # 检查文件 tree -f <变量 v2dat_dir 定义的路径> <变量 v2dat_dir 定义的路径> ├── <变量 v2dat_dir 定义的路径>/geoip.dat ├── <变量 v2dat_dir 定义的路径>/geosite.dat └── <变量 v2dat_dir 定义的路径>/rules ├── <变量 v2dat_dir 定义的路径>/rules/force-cn.txt ├── <变量 v2dat_dir 定义的路径>/rules/force-nocn.txt ├── <变量 v2dat_dir 定义的路径>/rules/geoip_cn.txt ├── <变量 v2dat_dir 定义的路径>/rules/geosite_apple.txt ├── <变量 v2dat_dir 定义的路径>/rules/geosite_cn.txt ├── <变量 v2dat_dir 定义的路径>/rules/geosite_geolocation-!cn.txt ├── <变量 v2dat_dir 定义的路径>/rules/hosts.txt └── <变量 v2dat_dir 定义的路径>/rules/local-ptr.txt DNS 配置文件 dns.yaml 请自行修改 ISP 的 DNS 和 socks5 代理地址(用来转发查询国外域名,避免 dns 泄露) ################ DNS Plugins ################# plugins: - tag: google type: forward args: concurrent: 2 upstreams: - addr: "https://dns.google/dns-query" dial_addr: "8.8.8.8" enable_pipeline: true enable_http3: true socks5: "10.10.11.253:1080" - addr: https://dns.google/dns-query dial_addr: "8.8.4.4" enable_pipeline: true enable_http3: true socks5: "10.10.11.253:1080" - tag: cloudflare type: forward args: concurrent: 2 upstreams: - addr: "https://cloudflare-dns.com/dns-query" dial_addr: "1.1.1.1" enable_pipeline: true enable_http3: true socks5: "10.10.11.253:1080" - addr: "https://cloudflare-dns.com/dns-query" dial_addr: "1.0.0.1" enable_pipeline: true enable_http3: true socks5: "10.10.11.253:1080" - tag: ali type: forward args: concurrent: 2 upstreams: - addr: "https://dns.alidns.com/dns-query" dial_addr: "223.5.5.5" enable_pipeline: true enable_http3: true - addr: "https://dns.alidns.com/dns-query" dial_addr: "223.6.6.6" enable_pipeline: true enable_http3: true #ISP 提供的 DNS ,请自行修改 - tag: local type: forward args: concurrent: 2 upstreams: - addr: "udp://221.12.1.227:53" - addr: "udp://221.12.33.227:53" #上游 fakeip 代理网关 - tag: proxy type: forward args: concurrent: 1 upstreams: - addr: "udp://10.10.11.253:53" # server 失败 - tag: reject_2 type: sequence args: - exec: reject 2 # 拒绝响应 - tag: reject_3 type: sequence args: - exec: reject 3 # 不支持的操作 - tag: reject_5 type: sequence args: - exec: reject 5 config.yaml 请自行修改 ecs IP 否则除了杭州联通外会减速 log: level: info file: "/etc/mosdns/mosdns.log" api: http: "0.0.0.0:5534" include: ['/etc/mosdns/dns.yaml'] plugins: # 国内域名 - tag: geosite_cn type: domain_set args: files: - "/etc/mosdns/rules/geosite_cn.txt" - "/etc/mosdns/rules/force-cn.txt" # 国内 IP - tag: geoip_cn type: ip_set args: files: - "/etc/mosdns/rules/geoip_cn.txt" # 苹果域名 - tag: geosite_apple type: domain_set args: files: - "/etc/mosdns/rules/geosite_apple.txt" # 国外域名 - tag: geosite_no_cn type: domain_set args: files: - "/etc/mosdns/rules/geosite_geolocation-!cn.txt" - "/etc/mosdns/rules/force-nocn.txt" - tag: hosts type: hosts args: files: - "/etc/mosdns/rules/hosts.txt" - tag: local_ptr type: domain_set args: files: - "/etc/mosdns/rules/local-ptr.txt" - tag: forward_local type: fallback args: primary: local # 主 dns secondary: ali # 备用 dns threshold: 500 always_standby: true - tag: forward_remote type: fallback args: primary: cloudflare # 主 dns secondary: google # 备用 dns threshold: 500 always_standby: true - tag: forward_proxy type: fallback args: primary: proxy # 主 dns secondary: proxy # 备用 dns threshold: 500 always_standby: true # ECS - tag: ecs_cn type: "ecs_handler" args: forward: false # 是否转发来自下游的 ecs preset: 101.71.1.1 # 发送预设 ecs send: false # 是否发送 ecs mask4: 24 # ipv4 掩码。默认 24 | 12 mask6: 48 # ipv6 掩码。默认 48 | 32 - tag: no_ecs type: "ecs_handler" args: forward: false # 是否转发来自下游的 ecs preset: "" # 发送预设 ecs send: false # 是否发送 ecs mask4: 24 mask6: 48 # 国外解析 - tag: forward_remote_upstream type: sequence args: - exec: $no_ecs - exec: prefer_ipv4 - exec: query_summary forward_remote - exec: $forward_proxy # 响应操作 - tag: has_resp_sequence type: sequence args: - matches: has_resp exec: accept # 查询国内域名 # 返回非国内 IP 则 drop_resp - tag: query_is_non_local_ip type: sequence args: - exec: $ecs_cn - exec: prefer_ipv4 - exec: $forward_local - matches: "!resp_ip $geoip_cn" exec: drop_resp # fallback: 失败时回滚 # 回滚机制: 如果 primary 抛出错误,或返回但没有应答,或在 threshold 毫秒内无响应,则执行 secondary 。因无响应触发 fallback 时,如果 primary 比 secondary 先返回了应答,则依旧会采用 primary 的应答。 # 错误处理: 如果 primary 和 secondary 都无应答 (抛出了错误,无响应直到超时,返回了但无应答),则抛出错误。 ## 此处做了防止 DNS 泄露的处理: 强制转发到远程 DNS (摘自 Github: sbwml/luci-app-mosdns) - tag: fallback type: fallback args: primary: forward_remote_upstream secondary: forward_remote_upstream threshold: 500 always_standby: true - tag: apple_domain_fallback type: fallback args: primary: query_is_non_local_ip secondary: forward_local threshold: 100 always_standby: true # 匹配苹果域名的插件 - tag: query_is_apple_domain type: sequence args: - matches: qname $geosite_apple exec: $apple_domain_fallback - exec: query_summary apple_domain_fallback # 匹配本地域名的插件 - tag: query_is_local_domain type: sequence args: - exec: $ecs_cn - exec: prefer_ipv4 - matches: qname $geosite_cn exec: $forward_local - exec: query_summary forward_local # 查询国外域名 - tag: query_is_no_local_domain type: sequence args: - matches: qname $geosite_no_cn exec: $forward_remote_upstream - tag: query_is_reject_domain type: sequence args: - matches: - qtype 12 - qname $local_ptr exec: reject 3 - matches: qtype 65 exec: reject 3 # 主要的运行逻辑插件 # sequence 插件中调用的插件 tag 必须在 sequence 前定义, # 否则 sequence 找不到对应插件。 - tag: main_sequence type: sequence args: - exec: $hosts - exec: jump has_resp_sequence - exec: forward_edns0opt 8 - exec: $query_is_apple_domain - exec: jump has_resp_sequence - exec: $query_is_reject_domain - exec: jump has_resp_sequence - exec: $query_is_local_domain - exec: jump has_resp_sequence - exec: $query_is_no_local_domain - exec: jump has_resp_sequence - exec: $fallback - exec: jump has_resp_sequence # 启动 udp 服务器 - tag: udp_server type: udp_server args: entry: main_sequence listen: ":53" docker-compose.yaml(可以不使用 macvlan ,自行修改网卡名和局域网网段及 IP ,目前发现 mosdns 作为 adg 上游在测试时会报错不可用,实际解析正常可忽略) version: '3' networks: macvlan_network: driver: macvlan driver_opts: parent: eth0 ipam: config: - subnet: 10.10.11.0/24 gateway: 10.10.11.254 ip_range: 10.10.11.0/24 services: mosdns: image: irinesistiana/mosdns:latest container_name: mosdns networks: macvlan_network: ipv4_address: 10.10.11.251 volumes: - ./mosdns:/etc/mosdns restart: unless-stopped adguardhome: image: adguard/adguardhome:latest container_name: adguardhome networks: macvlan_network: ipv4_address: 10.10.11.252 volumes: - ./adg/work:/opt/adguardhome/work - ./adg/conf:/opt/adguardhome/conf restart: unless-stopped
可用来代替 paopaodns 分流 配合 paopaogateway 或者 singbox 等 fakeip 网关实现分流科学上网 实测体验比 paopaodns 丝滑(不知道为什么 paopaodns 的国外解析 dns 全世界飞)
也许不是所有人都需要一个递归服务器 国内的 ISP 的 DNS 速度更快
打包产物: dns.zip 包含 mosdns+adg+compose 文件 修改配置后一键启动
核心思路: Mosdns:负责 DNS 分流查询,国内转发 ISP+阿里 国外通过 sock5 代理转发 cf+google (国内国外均有 2*2 组 dns 并行查询)
AdGuard Home(ADG):负责 DNS 去广告+控制面板(不需要可以去除,仅使用 mosdns 也可以)
DNS 泄漏:
所谓的 DNS 泄露国内节点,只是在 IP 分流时,查询了国内 DNS 引起,仅在理论上有安全问题。当然这个 DoH 使用境外服务器进行 IP 分流,完美解决泄漏问题 [DNS 分流与泄露分析 31]
DNS 检测: 境内检测:https://nstool.netease.com 123
境外检测:DNS Leak Test - BrowserLeaks 99
DNS 泄露检测
这个可以查询 DNS 泄露情况 理想状态打开都是实际代理落地区域的 DNS
效果:
adg 配置去广告和去 pcdn 黑名单
adg 不开启缓存( fakeip 需要 TTL 尽量短),如有需要在 mosdns 的 localdns 中设置
0 缓存实现 dns 查询 10s ,所有网站秒开
配置文件
下载分流所需文件
使用以下脚本,修改变量 v2dat_dir 为你的保存路径 (保存为 .sh 文件后, 记得 chmod +x xxx.sh 赋权):
说明( hosts 可以自定义域名解析,force-cn.txt 为强制转发国内 dns ,force-nocn.txt 为强制转发国外 DNS ,请自行修改,格式为 mosdns 标准格式)
DNS 配置文件 dns.yaml 请自行修改 ISP 的 DNS 和 socks5 代理地址(用来转发查询国外域名,避免 dns 泄露)
config.yaml 请自行修改 ecs IP 否则除了杭州联通外会减速
docker-compose.yaml(可以不使用 macvlan ,自行修改网卡名和局域网网段及 IP ,目前发现 mosdns 作为 adg 上游在测试时会报错不可用,实际解析正常可忽略)