本帖最后由 auflute 于 2023-3-26 18:15 编辑
对AdGuardhome的配置项研究的一些心得,也借助了chatgpt的帮忙。希望懂的朋友,不吝赐教指正。
- 作为dnsmasq的上游服务器,指的是将dnsmasq作为本地DNS服务器,将请求转发到adguardhome进行解析。
- 使用53端口替换dnsmasq,指的是使用adguardhome代替dnsmasq,监听53端口,作为本地DNS服务器。
- 重定向53端口到adguardhome,指的是将本地DNS服务器的53端口请求重定向到adguardhome上进行处理。
以通俗的方式来理解,假设你想去一家餐厅吃饭,你有三种方式可以找到餐厅的地址: - 作为dnsmasq的上游服务器:这就像你先打电话给一个朋友,问他餐厅的地址,然后他再打电话给餐厅,问他们的地址,然后再告诉你。这样你就得到了餐厅的地址,但是多花了一些时间和电话费。
- 使用53端口替换dnsmasq:这就像你直接打电话给餐厅,问他们的地址,然后他们就告诉你。这样你就得到了餐厅的地址,而且很快很省钱。
- 重定向53端口到adguardhome:这就像你打电话给一个号码,但是这个号码被自动转接到餐厅,然后他们就告诉你他们的地址。这样你也得到了餐厅的地址,但是可能不知道你实际上是和餐厅通话。
在这个比喻中,你就是客户端,朋友就是dnsmasq,餐厅就是adguardhome,电话号码就是端口。
- 作为dnsmasq的上游服务器:这种方式是在dnsmasq的配置文件中指定adguardhome的地址和端口作为上游DNS服务器,这样dnsmasq会将所有DNS查询转发给adguardhome处理,然后返回结果给客户端。这种方式的优点是简单易用,不需要修改其他设置,缺点是可能会有一些性能损失,因为多了一层转发。
- 使用53端口替换dnsmasq:这种方式是在adguardhome的配置文件中指定使用53端口(默认的DNS端口),然后停止或卸载dnsmasq服务,这样adguardhome会直接接收所有DNS查询,并返回结果给客户端。这种方式的优点是性能最高,因为没有多余的转发,缺点是需要修改系统设置,可能会影响其他服务或应用。
- 重定向53端口到adguardhome:这种方式是在系统防火墙或路由器上设置一个规则,将所有53端口的流量重定向到adguardhome的地址和端口,这样adguardhome会接收所有DNS查询,并返回结果给客户端。这种方式的优点是不需要修改dnsmasq或adguardhome的配置文件,也不需要停止或卸载dnsmasq服务,缺点是需要修改防火墙或路由器的设置,可能会影响其他服务或应用。
“重定向53端口到adguardhome” 和 “作为dnsmasq的上游服务器”比较:
后者不用经过dnsmasq,DNS请求直接到达OpenWrt的firewall,然后被重定向到AdGuard Home进行处理,这就少了一层转发。
在openwrt的DHCP/DNS设置中将dns转发设置为AdGuardhome的监听端口,和AdGuardhome设置中的“作为dnsmasq的上游服务器”的比较:
这两种方式的作用是差不多的,都是让openwrt将所有DNS查询转发给adguardhome处理,然后返回结果给客户端。两者的区别主要在于配置的位置和方式不同。
如果AdGuardhome配置中开启了“重定向53端口到adguardhome”,又在openwrt的DHCP/DNS设置中将dns转发设置为adguardhome的监听端口,最后的效果怎样?
根据默认的优先级顺序,OpenWrt的DNS转发设置会优先生效,因为OpenWrt的dnsmasq是在AdGuard Home之前响应DNS请求的。 因此,DNS请求将先被OpenWrt的dnsmasq转发到AdGuard Home进行处理,然后再被重定向到AdGuard Home的5353端口进行处理。这将导致DNS请求被处理两次,可能会降低DNS解析的效率。
为什么aAdGuardhome配置中开启了“重定向53端口到adguardhome”,AdGuardhome无法获取客户端的真实IP,而只能显示为localhost? - #iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53
- #iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53
- #[ -n "$(command -v ip6tables)" ] && ip6tables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53
- #[ -n "$(command -v ip6tables)" ] && ip6tables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53
这几行iptables规则会将所有进入路由器的UDP/TCP 53端口流量重定向到本地(localhost)的53端口。由于重定向是在本地进行的,所以AdGuardhome收到的所有流量的源IP地址都将被重定向为localhost,导致Adguardhome客户端IP均显示为localhost 127.0.0.1。将这些防火墙规则加“#”注释或直接删除,再重启防火墙即可。
当在AdGuardHome中选择并应用“使用53端口替换dnsmasq”时,AdGuardHome会自动对OpenWrt进行以下配置:
- 将adguardhome的端口设置为53
- 将dnsmasq的端口设置为其他值(如5353)
这样,adguardhome就可以作为最底层的DNS服务器,而不是dnsmasq的上游服务器,从而可以显示客户端的真实IP地址,并进行精确控制。
当在AdGuardHome中选择并应用“重定向53端口到adguardhome”时,AdGuardHome会自动对OpenWrt进行以下配置:
- 遍历每个IP地址,并使用iptables命令将端口53上的任何传入的TCP或UDP流量重定向到AdguardHome的监听端口。
当在AdGuardHome中开启了“作为dnsmasq的上游服务器”时,AdGuardHome会自动对OpenWrt进行以下配置: - 在OpenWrt的dnsmasq配置文件/etc/dnsmasq.conf中添加以下内容
| 
IP卡
狗仔卡
发表于 2023-3-26 09:31
置顶卡
沉默卡
喧嚣卡
顶贴卡
显身卡