Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

[Feature] Fake IP filter能否增加取反选项 #1479

Closed
2 tasks done
psychosispy opened this issue Aug 30, 2024 · 7 comments
Closed
2 tasks done

[Feature] Fake IP filter能否增加取反选项 #1479

psychosispy opened this issue Aug 30, 2024 · 7 comments
Labels
enhancement New feature or request

Comments

@psychosispy
Copy link

psychosispy commented Aug 30, 2024
edited
Loading

Verify steps

Description

目前的Fake IP filter是匹配规则内的域名使用realip
假如路由设备性能一般,在千兆以上的网络环境里,不绕过内核就没有办法跑满带宽,导致大量国内网站速度打折
目前想实现大陆域名realip,仅代理和广告屏蔽域名fakeip,只能用fake IP filter+cn规则,但是cn域名规则集不可能完美,还会和rule中的ad规则重合导致去广告失效,似乎无法实现只对黑名单网站使用fakeip,别的网站默认realip
可不可以为fake ip提供一种黑名单模式,只对匹配proxy和ad规则内的域名使用fakeip,未命中规则则使用realip

Possible Solution

No response
@psychosispy psychosispy added the enhancement New feature or request label Aug 30, 2024
@Skyxim
Copy link
Collaborator

Skyxim commented Aug 30, 2024

可不可以为fake ip filter提供一种白名单模式,只匹配proxy和ad规则内的域名进入内核,未命中规则则全部不经过内核

不可能

目前的Fake IP filter是黑名单,匹配规则内的域名不进入内核

理解错误

目前想实现大陆域名绕过内核

使用 redir-host 即可

@psychosispy
Copy link
Author

理解错误

抱歉,之前理解错误,绕过内核是客户端使用防火墙根据cnip实现的
mihomo在fakeip模式下,dns分流只能让fake IP filter内的规则走realip,无法精细的控制,比如实现不了默认realip,黑名单域名走fakeip,也没有屏蔽广告的dns.block,这方面可不可以优化一下

@psychosispy psychosispy reopened this Aug 31, 2024
wwqgtxx added a commit that referenced this issue Aug 31, 2024
@wwqgtxx
feat: add fake-ip-filter-mode in dns
f6164ac 
#1479
@wwqgtxx
Copy link
Collaborator

wwqgtxx commented Aug 31, 2024

done: f6164ac

@wwqgtxx wwqgtxx closed this as completed Aug 31, 2024
@psychosispy
Copy link
Author

fake ip filter使用whitelist,clash.mode使用global时,域名依旧会按照fakeipfilter解析,而不是全局fake ip,可能会导致全局代理时,dns直连的域名依旧被污染到错误ip的情况,显得不是那么的全局,可能的解决办法是global模式时忽略fake ip filter?

done: f6164ac

@wwqgtxx
Copy link
Collaborator

wwqgtxx commented Aug 31, 2024

global仅仅只是针对rule,对其他任何设置都不该有任何影响,所以不会修改

@HEUDavid
Copy link

HEUDavid commented Sep 27, 2024
edited
Loading

done: f6164ac

@wwqgtxx

感觉当前这个设计还是不够灵活,比如下面这种情景:

只把fake-ip的流量发往tun处理,real-ip走en0,tun配置如下:

tun:
  auto-route: true
  route-address:
    - 198.18.0.0/16

DNS处理广告域名与代理域名,仅广告和需要代理的域名解析为fake-ip,其他返回real-ip

dns:
  enhanced-mode: fake-ip
  fake-ip-range: 198.18.0.1/16
  fake-ip-filter:
    - rule-set:anti-AD
    - geosite:google
    - geosite:gfw
  fake-ip-filter-mode: whitelist

那么,当广告和需要代理的域名规则不全面时,许多漏网之鱼会绕过clash核心,发往en0,漏网之鱼无法走代理了,从而无法连接或者连接速度很慢无法加速,或广告域名未被处理。

如果采用黑名单模式呢:

dns:
  enhanced-mode: fake-ip
  fake-ip-range: 198.18.0.1/16
  fake-ip-filter:
    - geosite:cn
    - rule-set:my_direct
    - "*.lan"
  fake-ip-filter-mode: blacklist

那么很多广告域名会命中geosite:cn规则返回real-ip,然后绕过clash核心,发往en0,广告域名就无法被clash核心处理所屏蔽掉。

我认为,更好的做法可能是:
可以明确指定黑白名单fake-ip-filter,以及final返回fake-ip / real-ip。
配置效果可能是这样:

dns:
  enhanced-mode: fake-ip
  fake-ip-range: 198.18.0.1/16
  white-fake-ip-filter: # 满足规则列表则返回fake-ip,可以明确满足规则的域名指定发往clash核心(cn广告域名同时满足geosite:cn)
    - rule-set:anti-AD
    - geosite:google
    - geosite:gfw
  black-fake-ip-filter: # 满足规则列表则返回real-ip,可以明确满足规则的域名绕过clash核心
    - geosite:cn
    - rule-set:my_direct
    - "*.lan"
  fake-ip-final: fake-ip / real-ip  # 最终返回 fake-ip 还是 real-ip

这样的话,就更灵活了,能解决上面单独的黑名单或者白名单的痛点。我们可以指定广告、gfw、 proxy等域名列表返回fake-ip, 一些cn常用、直连、内网等域名列表绕过clash核心。同时规则之外的final 可决定是否发往clash核心处理。

@HEUDavid
Copy link

redir-host

@Skyxim redir-host 使用体验不如fake-ip,可否review下我的想法,如果认同的话,可以考虑提个pr。

@HEUDavid HEUDavid mentioned this issue Sep 27, 2024
Open
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
enhancement New feature or request
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
4 participants
@wwqgtxx @HEUDavid @Skyxim @psychosispy