这是一个创建于 2727 天前的主题,其中的信息可能已经有所发展或是发生改变。
入了一个 Google Home,需要配置路由器全局,用的树莓派
也用 redsocks 转发了流量
然而,DNS 解析这一块还没解决,结果老是被污染 返回了一堆 fb 的 ip
试了一些方案,试图绕过坑爹的 UDP
henices/Tcp-DNS-proxy 这个,似乎是基于 TCP 协议,但是不知道为什么,访问日志里依旧出现 69.171.247.32 这种 IP
还试了腾讯的 httpdns,吹的天花乱坠,但是返回结果依旧是被污染的
还剩下一个 dns.google.com 基于 https,理论上没有问题,可是没有找到转换的代码
要是没有其他方案的话,就要自己造轮子了。。。
第 1 条附言 2018-05-03 10:47:01 +08:00
解决啦
问题在于 home 使用了内置的 DNS,所以无论我在路由器上怎么设置都无效
转发 53 端口流量,强制走路由器 DNS,可以解决这个问题
```bash
iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 5353
iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 5353
```
问题在于 home 使用了内置的 DNS,所以无论我在路由器上怎么设置都无效
转发 53 端口流量,强制走路由器 DNS,可以解决这个问题
```bash
iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 5353
iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 5353
```
第 2 条附言 2018-07-31 10:03:15 +08:00
看来 DNS over HTTPS ( DoH )是未来的趋势啊,浏览器已经在开始原生支持了,期待 Chrome 的更新。
图解基于 HTTPS 的 DNS
http://www.infoq.com/cn/articles/a-cartoon-intro-to-dns-over-https
图解基于 HTTPS 的 DNS
http://www.infoq.com/cn/articles/a-cartoon-intro-to-dns-over-https
第 3 条附言 2019-04-05 19:18:49 +08:00
最后是基于 cloudflare 提供的 1.1.1.1 DoH 服务搭建了一套全局透明代理网关。
过程可见 https://blog.newnius.com/setup-global-proxy-with-raspberry-pi.html
过程可见 https://blog.newnius.com/setup-global-proxy-with-raspberry-pi.html
54 条回复 2019-09-01 15:19:26 +08:00
 | 1 Cipool 2018-05-02 22:54:34 +08:00 via Android  1 直接换用位于国内的无污染 DNS 试试 @googlehosts #防污染 DNS 主要服务器:140.143.226.193 (非实时查询上游,5 分钟缓存) 备用服务器:120.132.13.50 (实时查询上游,无缓存) |
 | 3 love4taylor PRO 1 如果你到 Google Public DNS 不丢包 不被完全劫持的话 可以试试 chinadns2, 利用 EDNS 防抢答... |
 | 4 LazyZhu 2018-05-02 23:07:10 +08:00 2 防污染可以用: DNS over HTTPS DNS over TLS DNSCrypt 推荐 DNS over HTTPS 客户端: https://github.com/m13253/dns-over-https https://github.com/aarond10/https_dns_proxy https://developers.cloudflare.com/argo-tunnel/downloads/ 支持 DNS over HTTPS 的 DNS: Google: https://developers.google.com/speed/public-dns/docs/dns-over-https Cloudflare: https://developers.cloudflare.com/1.1.1.1/dns-over-https/ |
 | 5 rosu 2018-05-02 23:07:47 +08:00 via Android 有点疑问,既然是全局,为什么还会被污染? |
 | 7 hzqim 2018-05-02 23:16:48 +08:00 1 假设你用的是 OpenWRT,而且已经有了 socks5 ; 来一个 dns2socks 走 socks5 向 8.8.8.8 询问 ip,还支持 CDN。 采用支持 regex 的 dnsmasq 通过关键字(而不是域名)走 dns2socks5 进行解析,国内的域名走 ISP 分配的 DNS 解析,因为免去了维护网址的步骤,特方便。 这个方案,只要 socks5 能通就能正确解析,若 socks5 不通,防污染也失去了意义。 目前最满意的方案! |
| 8 rosu 2018-05-02 23:19:31 +08:00 via Android |
| 9 LazyZhu 2018-05-02 23:23:02 +08:00 1 @hzqim 还有一种方法 只要 DNS 支持 ECS( https://en.wikipedia.org/wiki/EDNS_Client_Subnet),就可以指定 ECS 为代理 IP 也可以获得最好的解析. |
| 10 Cipool 2018-05-02 23:26:56 +08:00 via Android |
 | 11 t123yh 2018-05-02 23:32:26 +08:00 via Android 1 |
 | 13 chotow 2018-05-02 23:38:54 +08:00 via Android 歪个楼,为什么被污染的,都会解析到 FB ? |
 | 15 songz 2018-05-02 23:46:49 +08:00 1 树莓派弄个 pi hole |
 | 16 MacTavish123 2018-05-03 00:12:04 +08:00 via Android 1 @rosu 印象里这种都是内置 8.8.8.8,而不是用路由器分配的。所以几种路由器插件都有一个 DNS 劫持功能 |
 | 17 EsWann 2018-05-03 00:25:51 +08:00 via Android 1 纯净无污染 DNS: https://pdomo.me |
 | 18 bazingaterry 2018-05-03 00:29:55 +08:00 via iPhone 2 GitHub 搜 overture |
 | 19 chenyx9 2018-05-03 00:37:18 +08:00 via Android 1 我只是推断,不敢肯定。很可能如 16 楼所讲需要劫持 8.8.8.8 到路由,我的 Chromecast 就是这么干的。 |
 | 20 maowu 2018-05-03 01:15:08 +08:00 via Android 1 8.8.8.8 支持 tcp 嘛,考虑一下自己劫持 dns 查询丢到隧道发出去 |
 | 22 isbase 2018-05-03 01:38:46 +08:00 via Android 1 ChinaDNS |
 | 23 zhengzhou518 2018-05-03 03:2210 +08:00 @LazyZhu 哥们你说的这种方式是否有设置的视频教程啊,对于新手来说 |
 | 24 wzw 2018-05-03 07:40:24 +08:00 哪个域名被污染了, 我怎么很久没这样的感觉了 |
 | 25 jasonyang9 2018-05-03 09:03:50 +08:00 @rosu #8 是的啊,各个层面都可以干扰你 |
 | 26 keramist 2018-05-03 09:13:45 +08:00 via Android 1 前端加个 k2 刷 padavan 强制路由解析搞定 |
 | 27 lbp0200 2018-05-03 10:14:43 +08:00 via Android 1 PRCDNS 目前正在搞优化版 |
 | 28 catinred 2018-05-03 10:22:42 +08:00 1 |
 | 29 HandSonic 2018-05-03 10:23:16 +08:00 1 现成的方案太多了啊,dnsproxy、DNSCrypt、Pcap_DNSProxy、ChinaDNS 等等…… |
 | 31 jhytxy 2018-05-03 10:30:32 +08:00 via iPhone 1 我记得 koolshare 的固件里都集成好了的...开箱即用 |
 | 32 whatsmyip OP |
 | 37 ETiV 2018-05-03 10:41:44 +08:00 1 https://1.1.1.1 前两天不是新出了个吗~ |
| 38 whatsmyip OP 1 |
 | 39 presoul 2018-05-03 10:50:37 +08:00 via Android 用 cloudflare websocket 翻墙有过解析到 fb 一般没感觉过劫持~ |
 | 40 feather12315 2018-05-03 11:01:34 +08:00 via Android 推荐这个教程,直接全局 UDP 流量 https://www.zfl9.com/ss-redir.html |
| 41 lbp0200 2018-05-03 11:09:37 +08:00 https://github.com/aarond10/https_dns_proxy 这个应该是最符合你的解决方案了 |
 | 43 hicdn 2018-05-03 13:23:41 +08:00 https://github.com/aa65535/openwrt-dns-forwarder + https://github.com/aa65535/openwrt-chinadns 稳定运行一年左右了,自动区分境内外地址, ss+dns-forwarder+chinadns 下面是作者几年前写的方案 @aa65535 https://sourceforge.net/p/openwrt-dist/wiki/DNS/ |
 | 44 faicker 2018-05-03 20:58:39 +08:00 |
 | 46 tzungtzu 2018-05-21 14:28:26 +08:00 请问楼主你的 calendar 可以正常使用不,我的好像有问题,别的一般问题可以正常使用。 |
| 49 whatsmyip OP @tzungtzu v2 的提醒功能似乎有点问题。一般就是 "Hey Google, play some music"、"Hey Google, news today",最近在折腾跟米家互动 |
| 53 Cipool 2018-06-27 12:21:16 +08:00 via Android @wzw 已经注明了 tg 群组 @googlehosts 的维护者 |
 | 54 mattx 2019-09-01 15:19:26 +08:00 @Love4Taylor 你说的 chinadns2 是 梅林科学上网工具的吧? |
Select Language