找回密码
 立即注册
img_loading
智能检测中

QQ登录

只需一步,快速开始

搜索
广告投放联系QQ68610888广告投放联系QQ68610888
查看: 55093|回复: 30

AdGuard Home 端口替换/重定向 导致 乳酸菌饮料+ 白名单失效

  [复制链接]
发表于 2020-9-12 21:57 | 显示全部楼层 |阅读模式
本帖最后由 kkfuzi 于 2020-9-18 21:00 编辑

软路由,乳酸菌饮料+搭配AdGuard home,乳酸菌饮料+模式 绕过大陆IP,DNS解析是PDNSD

之前发现乳酸菌饮料+的访问控制(白名单/黑名单)不稳定,经常失效,后来经过测试比较,发现是AGH的问题。。

- 如果AGH设置成“使用53端口替换 dnsmasq” 或者“重定向53端口到AdGuardHome”模式, 乳酸菌饮料+的访问控制/白名单 无效,设置成白名单的国外域名依然走代理。

- 如果AGH设置成“作为dnsmasq的上游服务器” 就没问题了。。。(

AGH已加入GFW list)

但用上游服务器模式就没法统计局域网客户端信息和自定义客户端的广告过滤。。

不知道有没有人遇到类似问题,有什么解决方案么,谢谢。

=================
防杠: 关于AdGuard home的配置方案,我知道论坛里有五花八门的配置模式,但如果你看luci-app-adguardhome的作者,其实已经写的很清楚 https://github.com/rufengsuixing/luci-app-adguardhome

dns重定向
- 作为dnsmasq的上游服务器(在AGH中统计到的ip都为127.0.0.1,无法统计客户端及对应调整设置,乳酸菌饮料-plus正常)
- 重定向53端口到 AdGuardHome(ipv6需要开启ipv6 nat redirect 否则如果客户端使用ipv6过滤无效,不以dnsmasq为上游乳酸菌饮料-plus失效)
- 使用53端口替换 dnsmasq(需要设置AGH的dnsip为0.0.0.0, AGH和dnsmasq的端口将被交换,不以dnsmasq为上游乳酸菌饮料-plus失效)


关于乳酸菌饮料配合
- 方法一gfw代理:dns重定向-作为dnsmasq的上游服务器
- 方法二gfw代理:手动设置adh上游dns为自己即127.0.0.1:[自己监听的端口],然后使用 dns重定向-使用53端口替换dnsmasq,(因为端口互换后就是dnsmasq为上游了)
- 方法三国外ip代理:任意重定向方式,adh加入gfw列表,开启计划任务定时更新gfw即可
- 方法四gfw代理:dns重定向-重定向53端口到AdGuardHome,设置adh上游dns 为127.0.0.1:53

=================
关于我的测试方案,三个测IP的网站:
http://test-ipv6.com/
https://whatismyipaddress.com/
http://www.882667.com/

分别把域名随机加入白名单/黑名单,测试下来只有“dns重定向-作为dnsmasq的上游服务器”模式工作正常(连接符合白名单黑名单设置)。其他两种重定向模式,不管三个网站放在白名单还是黑名单,全部走代理。

=================
更新结论
在github上得到信息了
官方的v0.104.0-beta1开发进程里边:“7931e50 + DNS: add "ipset" configuration setting”就是在做这个优化,只能坐等了

只谈技术、莫论政事!(点击见详情) | 互相尊重、友善交流、切勿过度反应。胡乱输入灌水等操作将会被封禁ID。
发表于 2020-9-12 23:18 | 显示全部楼层
防火墙注释53端口。

点评

为了能让AGH重定向正常工作,在用AGH之前就已经注释了防火墙规则 #iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53 #iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT -  详情 回复 发表于 2020-9-13 11:30
只谈技术、莫论政事!(点击见详情) | 互相尊重、友善交流、切勿过度反应。胡乱输入灌水等操作将会被封禁ID。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2020-9-13 11:30 | 显示全部楼层
martin_ni 发表于 2020-9-12 23:18
防火墙注释53端口。

为了能让AGH重定向正常工作,在用AGH之前就已经注释了防火墙规则
#iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53
#iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53
只谈技术、莫论政事!(点击见详情) | 互相尊重、友善交流、切勿过度反应。胡乱输入灌水等操作将会被封禁ID。
回复 支持 反对

使用道具 举报

发表于 2020-9-13 12:59 | 显示全部楼层
本帖最后由 xhackf 于 2020-9-14 12:38 编辑

参考这篇帖子解决。https://www.right.com.cn/forum/thread-4030183-1-1.html

点评

我已经注释了,注释了之后还存在此问题。 而且其实那篇文章说的不严谨,客户端的显示本来就是AGH模式的不同区别造成的。 luci-app-adguardhome的作者写的很清楚 https://github.com/rufengsuixing/luci-app-ad  详情 回复 发表于 2020-9-13 16:27
只谈技术、莫论政事!(点击见详情) | 互相尊重、友善交流、切勿过度反应。胡乱输入灌水等操作将会被封禁ID。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2020-9-13 16:27 | 显示全部楼层
本帖最后由 kkfuzi 于 2020-9-13 16:34 编辑

我已经注释了,注释了之后还存在此问题。

而且其实你说的那篇文章说的不严谨,或者说没有完全明白adguardhome的配置模式,比如客户端的显示,本来就是AGH不同重定向模式造成的,如果设置成dnsmasq上游服务器,改端口是没有用的。

luci-app-adguardhome的作者写的很清楚 https://github.com/rufengsuixing/luci-app-adguardhome

dns重定向
- 作为dnsmasq的上游服务器(在AGH中统计到的ip都为127.0.0.1,无法统计客户端及对应调整设置,乳酸菌饮料-plus正常)
- 重定向53端口到 AdGuardHome(ipv6需要开启ipv6 nat redirect 否则如果客户端使用ipv6过滤无效,不以dnsmasq为上游乳酸菌饮料-plus失效)
- 使用53端口替换 dnsmasq(需要设置AGH的dnsip为0.0.0.0, AGH和dnsmasq的端口将被交换,不以dnsmasq为上游乳酸菌饮料-plus失效)


关于乳酸菌饮料配合
- 方法一gfw代理:dns重定向-作为dnsmasq的上游服务器
- 方法二gfw代理:手动设置adh上游dns为自己即127.0.0.1:[自己监听的端口],然后使用 dns重定向-使用53端口替换dnsmasq,(因为端口互换后就是dnsmasq为上游了)
- 方法三国外ip代理:任意重定向方式,adh加入gfw列表,开启计划任务定时更新gfw即可
- 方法四gfw代理:dns重定向-重定向53端口到AdGuardHome,设置adh上游dns 为127.0.0.1:53


我现在的问题就是乳酸菌饮料是方法三模式,但部分重定向模式会导致白名单失效,哪怕已经注释了L大的防火墙规则。

点评

顶一波层主,说法正确!  详情 回复 发表于 2023-2-24 15:48
你确定看了人家说的吗?我看你是看都不看。 人家让你按截图里的设置,不是注释掉!如果你定义的端口是54,就像截图里里面把后面的两个53改为54  详情 回复 发表于 2020-9-13 16:41
只谈技术、莫论政事!(点击见详情) | 互相尊重、友善交流、切勿过度反应。胡乱输入灌水等操作将会被封禁ID。
回复 支持 反对

使用道具 举报

发表于 2020-9-13 16:41 | 显示全部楼层
kkfuzi 发表于 2020-9-13 16:27
我已经注释了,注释了之后还存在此问题。

而且其实你说的那篇文章说的不严谨,或者说没有完全明白adgu ...

你确定看了人家说的吗?我看你是看都不看。
人家让你按截图里的设置,不是注释掉!如果你定义的端口是54,就像截图里里面把后面的两个53改为54

点评

刚刚已经测试过了,改成54没有用,还是走代理。  详情 回复 发表于 2020-9-13 16:43
只谈技术、莫论政事!(点击见详情) | 互相尊重、友善交流、切勿过度反应。胡乱输入灌水等操作将会被封禁ID。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2020-9-13 16:43 | 显示全部楼层
本帖最后由 kkfuzi 于 2020-9-13 16:55 编辑
教皇 发表于 2020-9-13 16:41
你确定看了人家说的吗?我看你是看都不看。
人家让你按截图里的设置,不是注释掉!如果你定义的端口是54 ...

刚刚已经测试过了,改成54没有用,还是走代理。注释和改端口的本质是一样的,也就是让AGH来接管dnsmasq。这可以解决局域网客户端显示具体ip的问题,但不是本帖讨论的导致乳酸菌饮料白名单无效的解决方案。

只谈技术、莫论政事!(点击见详情) | 互相尊重、友善交流、切勿过度反应。胡乱输入灌水等操作将会被封禁ID。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2020-9-18 20:59 | 显示全部楼层
在github上得到信息了
官方的v0.104.0-beta1开发进程里边:“7931e50 + DNS: add "ipset" configuration setting”就是在做这个优化,只能坐等了。。。。
只谈技术、莫论政事!(点击见详情) | 互相尊重、友善交流、切勿过度反应。胡乱输入灌水等操作将会被封禁ID。
回复 支持 反对

使用道具 举报

发表于 2020-9-21 23:33 | 显示全部楼层
本帖最后由 nossr 于 2020-9-22 08:08 编辑

我用的是gfwlist模式,按照那个个帖子把设置了我AdGuard home的端口5353,不过在客户端排行那一栏还是只有127.0.0.1
目前外网正常访问,按照楼主的方法将三个ip分别加入乳酸菌饮料的强制转发名单,ip也从本地ip变成了外网ip
注意到AdGuard home的上游dns一栏中自动添加了127.0.0.1:8053也就是本机的china-dns端口,想请教下楼主我这属于啥情况啊,如何测试AdGuard home是否起作用呢
下面是记录
Sep 21 23:51:13 【AdGuardHome】: 启用本机 AdGuardHome 服务
Sep 21 23:51:13 【AdGuardHome】: 修改本机 AdGuardHome 服务器的上游 DNS: 127.0.0.1:8053
Sep 21 23:51:13 【AdGuardHome】: 运行 /opt/AdGuardHome/AdGuardHome
Sep 21 23:51:16 【AdGuardHome】: 启动成功
Sep 21 23:51:16 【AdGuardHome】: 检测到 dnsmasq 转发规则, 删除 server=127.0.0.1#8053
Sep 21 23:51:16 【AdGuardHome】: 添加 AdGuardHome 的 dnsmasq 转发规则 server=127.0.0.1#5353
Sep 21 23:51:16 【AdGuardHome】: 守护进程启动

只谈技术、莫论政事!(点击见详情) | 互相尊重、友善交流、切勿过度反应。胡乱输入灌水等操作将会被封禁ID。
回复 支持 反对

使用道具 举报

发表于 2020-10-28 10:43 | 显示全部楼层
新版本已经支持ipset了,就看有没有大神来改openwrt
只谈技术、莫论政事!(点击见详情) | 互相尊重、友善交流、切勿过度反应。胡乱输入灌水等操作将会被封禁ID。
回复 支持 反对

使用道具 举报

发表于 2020-11-21 14:08 | 显示全部楼层
同样问题,试了N种方案,均不如意,暂时弃了路由端科学,兄弟解决后麻烦告诉一声

点评

我暂时为了打倒美帝,AGH设置成“作为dnsmasq的上游服务器”,代价就是没法统计局域网客户端,都显示127.0.0.1了。。 有一个说法是把AGH设置在内网其他服务器上,比如NAS或者旁路由,打倒美帝放在主路由上,串联,  详情 回复 发表于 2020-11-21 14:53
只谈技术、莫论政事!(点击见详情) | 互相尊重、友善交流、切勿过度反应。胡乱输入灌水等操作将会被封禁ID。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2020-11-21 14:53 | 显示全部楼层
woboo 发表于 2020-11-21 14:08
同样问题,试了N种方案,均不如意,暂时弃了路由端科学,兄弟解决后麻烦告诉一声

我暂时为了科学xx,AGH设置成“作为dnsmasq的上游服务器”,代价就是没法统计局域网客户端,都显示127.0.0.1了。。
有一个说法是把AGH设置在内网其他服务器上,比如NAS或者旁路由,科学xx放在主路由上,串联,这样就不会有dnsmasq的问题了,不过我目前没有设置。。

点评

这样可以,就是强迫症看着那些127.0.0.1别扭,哈哈  详情 回复 发表于 2020-11-21 19:01
只谈技术、莫论政事!(点击见详情) | 互相尊重、友善交流、切勿过度反应。胡乱输入灌水等操作将会被封禁ID。
回复 支持 反对

使用道具 举报

发表于 2020-11-21 19:01 来自手机 | 显示全部楼层
kkfuzi 发表于 2020-11-21 14:53
我暂时为了科学xx,AGH设置成“作为dnsmasq的上游服务器”,代价就是没法统计局域网客户端,都显示127.0. ...

这样可以,就是强迫症看着那些127.0.0.1别扭,哈哈
只谈技术、莫论政事!(点击见详情) | 互相尊重、友善交流、切勿过度反应。胡乱输入灌水等操作将会被封禁ID。
回复 支持 反对

使用道具 举报

发表于 2021-4-11 23:51 | 显示全部楼层
等待作者更新吧,目前好像没有什么更好的办法解决,为了显示客户端,我把AGH弄到iKuai里面的Docker里了。。。
只谈技术、莫论政事!(点击见详情) | 互相尊重、友善交流、切勿过度反应。胡乱输入灌水等操作将会被封禁ID。
回复 支持 反对

使用道具 举报

发表于 2021-4-23 15:59 | 显示全部楼层
楼主解决了吗,我也是这个问题
只谈技术、莫论政事!(点击见详情) | 互相尊重、友善交流、切勿过度反应。胡乱输入灌水等操作将会被封禁ID。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

欢迎大家光临恩山无线论坛

只谈技术、莫论政事!切勿转播谣言!为了你也为了他人。
只谈技术、莫论政事!(点击见详情) 切记不要随意传播谣言,把自己的日子过安稳了就行,为了自己好也为了大家好。 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。

查看 »

有疑问请添加管理员QQ86788181|手机版|小黑屋|Archiver|恩山无线论坛(常州市恩山计算机开发有限公司版权所有) ( 苏ICP备05084872号 )

GMT+8, 2025-7-10 13:39

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

| 江苏省互联网有害信息举报中心 举报信箱:js12377 | @jischina.com.cn 举报电话:025-88802724 本站不良内容举报信箱:68610888@qq.com

快速回复 返回顶部 返回列表