|
本帖最后由 super131 于 2024-3-19 19:52 编辑
1.首先确认你的OpenClas.h客户端版本为v0.45.157-beta或v0.46.003-beta,切记不要升级v0.46.001-beta版本,该版本有防火墙BUG,作者已经在003版本进行了修复(v0.46.003-beta版本已于2024-03-9 12:30 发布)
2.关于内核,我们先手动下载最新的Meta内核到本地,然后通过配置管理上传内核即可,注意我们只需要用到Meta内核,其他内核不需要下载。
3.进入到配置管理---配置文件编辑---直接复制下面内容,粘贴到配置文件编辑框内,然后我们需要把标红区域的https://www.baidu.com改成你的clas.h订阅链接即可。详细请看下面的注释!
proxy-providers:
Cloud:
type: http
path: "./proxy_provider/config.yaml"
url: https://www.baidu.com
interval: 2592000
health-check:
enable: true
url: https://cp.cloudflare.com
interval: 2592000
proxy-groups:
- name: PROXY
type: url-test
url: https://cp.cloudflare.com
interval: 2592000
use:
- Cloud
rules:
- DST-PORT,0-442/444-65535,DIRECT
- DOMAIN-SUFFIX,xn--ngstr-lra8j.com,DIRECT
- MATCH,PROXY
注释:标红内容可修改
proxy-providers:
Cloud: 1.名称可以自定义,例如:JP
type: http
path: "./proxy_provider/config.yaml"
url: https://www.baidu.com 2.订阅地址,填写你的clas.h的订阅链接
interval: 2592000 3.订阅自动更新间隔时间(单位:秒),根据自己需求来填写
health-check:
enable: true
url: https://cp.cloudflare.com
interval: 2592000 4.节点健康检测间隔时间(单位:秒),根据自己需求来填写,建议时间长一点,比如7天、15天、30天,因为如果你节点故障了本身会有个主动检测的,因此不需要频繁的定时检测。
proxy-groups:
- name: PROXY
type: url-test
url: https://cp.cloudflare.com
interval: 2592000 5.节点健康检测间隔时间(单位:秒),根据自己需求来填写,建议时间长一点,比如7天、15天、30天,因为如果你节点故障了本身会有个主动检测的,因此不需要频繁的定时检测。
use:
- Cloud 6.名称必须跟上面的一样,例如上面名称是JP,这里也必须是JP
rules:
- DST-PORT,0-442/444-65535,DIRECT 7.匹配数据目标端口为0-442和444-65535的走国内直连,也就是只有端口为443数据会继续向下匹配
- DOMAIN-SUFFIX,xn--ngstr-lra8j.com,DIRECT 8.匹配域名为xn--ngstr-lra8j.com的走国内直连,这条规则是为了解决谷歌商店无法下载APP问题
- MATCH,PROXY 9.未匹配上的规则走国外代理
4.进入插件设置(根据下面图片内容进行修改对应位置即可)
注释:
1、大路域名 DNS 服务器,这个建议大家可以填自己运营商分配的,可以获得更好的CDN优化。
2、勾选禁用 QUIC,是为了只代理TCP流量,如果你不勾选默认会代理UDP的流量。
5.进入覆写设置(根据下面图片内容进行修改对应位置即可)
注释:
自定义上游 DNS 服务器 NameServer 建议填一个或两个运营商的分配DNS即可,
FallBack跟Default-NameServer里面的DNS都不需要,全部删了
6.以上配置文件、插件设置、覆写设置都设置完成后,保存所有配置---点击启动OpenClas.h
7.打开DASHBOARD控制面板,可以看到右侧有两个图标,点击左侧爱心图标即为健康检测,点击右侧图标即为更新订阅。
总结:
一、此套配置的优点
1.国内的流量数据优先经过dnsmasq的大路白名单的匹配,匹配上的域名会使用我们配置运营商DNS进行解析成IP,然后被iptables放行,不会经过OpenClas.h内核。
2.进入到OpenClas.h内核的国内流量数据会优先匹配数据的目标端口,如果不是443端口的数据都会走国内直连,使用的也是自定义上游 DNS 服务器 NameServer 配置的运营商DNS进行解析。
3.当进入到OpenClas.h内核的流量数据没有匹配到任何的规则时,会交由兜底策略MATCH走代理出去,由于是FakeIP模式,不需要进行本地DNS解析,OpenClas.h会分配一个假IP进行DNS响应,并封装域名和假IP的对应关系进行加密发给远程服务器(vps),在他的环境中进行DNS解析。
4.由于只会代理443端口的TCP数据,可以很好规避BT下载以及避免其他不需要走代理的流量。
5.不存在DNS泄露,DNS污染问题
二、提问
1.为什么没有加去广告规则?
答:去广告太鸡肋了,很多广告去不掉并且你还要考虑网上那些规则是否适合你,很多误杀规则只会徒增设备负担,你还不如装个浏览器插件
2.能不能套其他DNS插件来去广告?
答:...
3.旁路由能用吗?
答:自己测试吧,我是主路由
4.我想代理其他端口怎么办?
答:规则剔除需要的端口即可,比如我想代理80,443,8080, - DST-PORT,0-79/81-442/444-8079/8081-65535,DIRECT
5.国内小众网站也走了代理该怎么办?
答:受影响的也就只有目标端口为443的国内小众网站,影响已经最最最小化了,剩下的你只需要手动把一些自己常用的国内小众域名添加到rules规则走直连即可。
例如: - DOMAIN-SUFFIX,abcd.com,DIRECT
最完美的分流,没有之一!
我吹牛的
2024.3.19更新补充内容:(提供两个新的规则,供不同需求的人群使用)
proxy-providers:
Cloud:
type: http
path: "./proxy_provider/config.yaml"
url: https://www.baidu.com
interval: 86400
filter: 'HK|SG|JP'
exclude-filter: "2倍率|5倍率"
health-check:
enable: true
url: https://www.gstatic.com/generate_204
interval: 86400
proxy-groups:
- name: PROXY
type: url-test
use:
- Cloud
rules:
- DST-PORT,0-442/444-65535,DIRECT
- GEOIP,CN,DIRECT
- MATCH,PROXY
规则1:目标端口为443的TCP流量走代理,匹配国内IP并发起本地DNS解析,解决一些小众域名网站走代理问题(由于需要发起本地DNS,存在泄露,适合对个人隐私不感冒的人)
filter: 'HK|SG|JP' 是用于筛选关键词节点用的,如果你不需要可以删掉这一行,多个关键词分割符号为:|
exclude-filter: "2倍率|5倍率" 是用于剔除关键词节点用的,如果你不需要可以删掉这一行,多个关键词分割符号为:|
(别忘了要更新一下数据库:GEO 数据库订阅 大路白名单订阅)
proxy-providers:
Cloud:
type: http
path: "./proxy_provider/config.yaml"
url: https://www.baidu.com
interval: 86400
filter: 'HK|SG|JP'
exclude-filter: "2倍率|5倍率"
health-check:
enable: true
url: https://www.gstatic.com/generate_204
interval: 86400
proxy-groups:
- name: PROXY
type: url-test
use:
- Cloud
rules:
- DST-PORT,0-442/444-65535,DIRECT
- GEOIP,CN,DIRECT,no-resolve
- MATCH,PROXY
规则2:目标端口为443的TCP流量走代理,匹配国内IP直连请求的走直连,不能解决一些小众域名网站走代理问题(由于不会发起本地DNS请求,不存在泄露,适合看重个人隐私)
filter: 'HK|SG|JP' 是用于筛选关键词节点用的,如果你不需要可以删掉这一行,多个关键词分割符号为:|
exclude-filter: "2倍率|5倍率" 是用于剔除关键词节点用的,如果你不需要可以删掉这一行,多个关键词分割符号为:|
(别忘了要更新一下数据库:GEO 数据库订阅 大路白名单订阅)
来自杠精的提问:
1、Pass Wall 2 跟 OpenClas.h 哪个更好?
答:PW2也有FakeIP的功能叫FakeDNS,但是它有个缺点就是必须是在规则内才返回FakeDNS,如果不在规则内的域名就会使用远程DOH走代理,远程DNS都会增加延迟,所以会造成非主流的域名增加访问延迟,以及没法解决多域名指向同个IP的情况。
而OpenClas.h可以使所有域名都返回FakeIP,通过开启绕过大陆功能,dnsmasq的国内域名名单会进行域名匹配,匹配上会使用设置的运营商DNS进行解析成IP,与iptables的路由表进行匹配,匹配上就会后放行,不会进入OpenClas.h的核心,
而匹配不上的域名才会进入OpenClas.h的核心开始rules匹配,由于FakeIP模式下UDP流量也会进入核心,此时我们可以先禁用443端口的国外UDP流量,然后rules规则先配置DST-PORT,0-442/444-65535,DIRECT来匹配目标端口非443的走直连,
这样一来可以防止非443端口的TCP/UDP国内流量走代理,紧接着就是配置GEOIP,CN,DIRECT,no-resolve匹配一些基于IP直连的国内IP请求走直连,最后就是MATCH,没匹配上任何规则走代理,唯一缺点就存在一些小众域名也会走代理,但是利大于弊,这样才是最理想的状态。
如果你对个人隐私不感冒,毕竟那那那..嗯...是吧...,那直接去掉no-resolve即可,这样就可以解决小众域名也走代理的问题。
2、套娃真的有必要?
答:答案肯定是否定的,就拿大家最喜欢套一个MosDNS在前面或后面,其实MosDNS也是基于GEOIP和GeoSite来进行匹配,GEOIP是路由表,GeoSite是域名表,
假设你发起谷歌访问请求,先进行GeoSite域名匹配,匹配上的走远程DNS或者转发给代理插件,而没匹配上就需要GEOIP匹配路由表,我们访问的是域名,如果需要匹配IP,那肯定需要进行本地DNS解析,需要国内DNS+国外DNS并发请求解析,那必然存在DNS泄露,
因为虽然这个DNS解析只是为了判断,进行判断后它会把域名或IP发给你的代理插件,让代理插件去进行访问,这时候你进行一些DNS泄露检测网址,你发现没有显示国内DNS提供商,兴高采烈觉得没有泄露,其实鸡脚都给漏完了,
仔细想想你前面发起了DNS请求,假设114记录了你现在在请求谷歌的IP,然后你又向某台服务器(VPS)发送了一顿的加密数据,你觉得我不知道你在干嘛吗?
如果MosDNS只能通过GeoSite域名匹配,或者不发起DNS请求而是基于IP直连请求的GEOIP来匹配,那Pass Wall 2跟OpenClas.h本身做不到吗,一个套一个,有必要?
3、AdGuard Home 有必要?
答:答案肯定是否定的,其实就是把广告的域名请求阻断了,而这个广告的域名表也是网上的人搜集的,几千到几万条规则不是适合所有人,规则越多也就意味着匹配的时间越长,要是你的设备性能较差那就是给自己找不痛快了。
而且存在误杀,造成你无法打开视频,网页卡顿或者一些网站直接给你掐了,等等等,弊大于利,效果非常鸡肋,还不如装个浏览器插件。或者你说你可以定制一份属于你自己的规则,然后你非常执着去广告,虽然主流的你都去不掉,
但如果你有这闲工夫我建议把规则直接添加到Pass Wall 2跟OpenClas.h去,一样有效果,也不是只有AdGuard Home才能做到吧?
4、网络架构越简单越好
答:这是真理,我们应该要简化自己的网络架构,而不是复杂化,否则一旦出了问题你就得花大量时间去排查、去解决、去折腾
以上纯属瞎编!
完结,撒花!
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
评分
-
查看全部评分
|