|
|
本帖最后由 bskdsbz 于 2020-2-16 08:03 编辑
发现很多人搞不清楚他们是怎么工作的,甚至youtube上很多主播都搞不清楚,都说什么“优先级”概念,但没有任何看得见的证明,所以特意研究了下配置文件,基本搞清楚了流程,给大家点思路,加快网内网外的dns解析速度。以下测试过程都是基于自己的系统,如有错误请指出
首先,默认的域名解析式udp53接口,除非你关闭dnsmasq,或者强制改端口,域名解析一般都是dnsmasq的53端口先接手的,我个人是不建议去修改这个的
如果在接口界面设置了使用通告服务器,就会用tmp/resolv.conf读取pppoe通告的dns地址,为了找到dns解析真正的流程,此次wan口“使用通告服务器”没有打勾。
开门见山,直接说重点。本机固件安装有smartdns,passwall、china-dns-ng,有个配置文件etc/dnsmasq.d/dnsmasq-passwall.conf,此文件内容为
server=127.0.0.1#7913
all-servers
no-poll
conf-dir=/var/etc/dnsmasq-passwall.d
可以看到dnsmasq.d是dnsmasq的动态目录,动态目录的含义有兴趣的可以去百度下,可以简单点理解成附加的设置,这个配置文件内容是把服务转发到本机7913端口,利用“netstat -tunlp |grep 7913”发送监听7913udp端口的是china-dns-ng程序
最下面一行dnsmasq-passwall.d这个动态文件夹内有三个文件,分别是passwall里的黑名单、白名单和gfwlist,其中黑名单和gfwlist还写着把服务指向本机的7913端口,可以说已经把dns劫持了
继续利用passwall和smartdns测试,dnsmasq的web界面并没有开转发,也就是说只有应该只有上面的那个文件在起作用,把dns被劫持到china-dns-ng去了。
然后在passwall的dns界面,dns采用china-dns-ng模式,然后人为输入错误的dns来测试国内和可信dns,结果如下
| 国内dns真,可信dns假 | 国内dns假,可信dns真 | 国内和可信都是假 | | 国内网站 | 正常 | 正常 | 没有dns,找不到ip | | 国外网站 | 没有dns,找不到ip | 正常 | 没有dns,找不到ip |
其中国外网站用的youtube和google
我网上找了下china-dns的流程,他是把dns分成国内和国外组,然后同时查询域名,分析返回的ip结果,如果返回的ip是国内ip,直接采用;如果ip是国外ip,只采用国外dns的,放弃国内dns的
我的测试结果和你一理论一样
总结:china-dns-ng会在后台劫持dnsmasq的域名解析,然后根据gfwlist分国内dns和可信dns解析,这一界面在passwall里可以看到,gfwlist内的域名,只用可信dns解析,其他域名国内和可信dns同时解析
解析流程图大致如下
客户端——dnsmasq——china-dns-nd(dns按照gfw分组)——smartdns(国内组)
——smartdns(国外组)
所以我是这么设置的:
passwall可以把dns分成2组,国内和国外分开,利用smartdns的分组功能正好可以分开解析,国内的dns可以保证访问国内的速度,以及正确解析(国外dns有可能会给你解析到国外cdn去),国外的dns用tls或者https保证不被污染。具体做法
a、smartdns设置,国内组114之类,udp接口就行,端口12345;国外8888 8844,tls,端口54321
b、ndsmasq不转发,不重绑定保护(etc/dnsmasq.d/dnsmasq-passwall.conf会劫持,不用设置)
c、passwall 国内dns127.0.0.1#12345,china-dns-ng可信dns127.0.0.1#54321,不开dns劫持(分工很清晰,不用劫持)
谢谢大家
|
|
简体中文
繁體中文
English
日本語
Deutsch
한국 사람
بالعربية
TÜRKÇE
português
คนไทย
IP卡
狗仔卡
发表于 2020-2-15 22:49
置顶卡
沉默卡
喧嚣卡
顶贴卡
显身卡