关于 nameserver-policy的NDS泄露问题

[qqrate]

禁用本地劫持，dnsmasq转发mosdns,mosdns只转发fack-ip给openclash远程解析代理,此模式下，只配置了一个nameserver：8.8.8.8，但有一些可直连的露网之鱼，一旦启用
nameserver-policy:
"mydirect":
- 223.5.5.5
- 119.29.29.29
则ipleak,browserleaks.com/dns必检测到泄露，最近几个版本都是如此，其它人有遇到过吗？

[ghost]

无恶意，但你这相当于废话了，只要有直连，必泄露的。

网上有些人也瞎吓唬人。国内ip测出国内的dns，国外ip测出国外dns。这是很正常的事。国外网站在国内也是有节点的，不能按网址判断，要有针对性的。

你要真想讨论就去内核那边吧，那边大佬多他们劝人有一套

[ghost]

突然意识到可能有误会了，该评论是对题主回复的，适用于已经配置nameserver-policy或者独立dns解析的情况，只用fallback和nameserver的不适用。

[qqrate]

国内ip测出国内的dns，国外ip测出国外dns。这是很正常的事。国外网站在国内也是有节点的，不能按网址判断，要有针对性的。

理解你的意思，只是探讨一下问题而已。突然想通了，简单来说无论在国内有无节点，因为mosdns返回的不是域名，是！CN的IP。就出站流程来说，既然使用fack-ip了,都指定8.8.8.8了，在我的理解中应该和明确指定direct的无半毛钱关系了吧，而是遵常规走8.8，就算是fallback也不应该走223，而是远端解析了吧？不然这个nameserver-policy感觉存在的针对性意义就不大了，可惜目前还不支持无密SCOK的代理，不然可以尝试从其它DNS透明代理转发...
应该是在应该是在网站探测的入站过程中命中了ali出口而导致的泄露，如果设置代理节点对应的国外nameserver-policy估计应该就不会了吧？也可以说这种测试网站如你所说，存在具体针对性，仅供参考罢了
不知我的理解有什么错误之处，多指点，谢谢

[ghost]

https://wiki.metacubex.one/config/dns/diagram/
这里有个dns的流程图，policy其实属于截胡了

无密socks的话，#3699 (reply in thread)

[qqrate]

谢谢解答！再学习一番

[ghost]

借楼请教一下
看您发的流程图
nameserver和fallback是并发的
那为何要设置nameserver
而不是直接用fallback去查
反正两者冲突下解析是以fallback为准

[ghost]

你的意思是为何不直接使用“未被污染”的dns服务吧？应该是这个意思吧，无意冒犯，如果真的是字面意思，我觉得问搜索引擎又快又准确。

nameserver和fallback是并发的，所以这也是被说clash会泄露dns的最大原因，因为这俩功能上确实是冲突又互补的矛盾存在。

所以逐渐开始用nameserver policy代替fallback

即

dns:
  nameserver:
    - https://doh.pub/dns-query
    - https://dns.alidns.com/dns-query
  nameserver-policy:
    "rule-set:非CN域名":
      - https://dns.cloudflare.com/dns-query
      - https://dns.google/dns-query

dns:
  nameserver:
    - https://dns.cloudflare.com/dns-query
    - https://dns.google/dns-query
  nameserver-policy:
    "rule-set:CN域名":
      - https://doh.pub/dns-query
      - https://dns.alidns.com/dns-query

当然这只是最基部分框架，用的顺手还得加别的功能，具体用法看文档吧（我这也是复制文档改的），题主的就是下面这个。

两种写法各有好处，但都可以达到基本防止dns泄露的问题（其实mosdns等也大致是这个处理方式）。完全防止就如我前面说的，有直连就不存在的。

所以通过这种方法，算是变向实现得到“未被污染”dns。

[000320LUCKY]

好像使用nameserver查询时得到非cn的IP就会使用fallback兜底。不过现在能使用nameserver-policy优先解析