Open Mosney opened 2 months ago
使用dnsmasq转发,仍然用防火墙重定向了53,是为了防止客户端私自设置DNS。 比如电脑私自设置了 223.5.5.5,openclash的那条防火墙规则可以劫持电脑向223.5.5.5的查询到dnsmasq。 不过我也觉得这个操作最好给个开关,能不要重定向53 @vernesong
OpenWrt 的 网络 - DHCP/DNS - 常规 中 取消勾选 “DNS 重定向”
OpenWrt 的 网络 - DHCP/DNS - 常规 中 取消勾选 “DNS 重定向”
这是openclash的行为,而不是dnsmasq的,跟这个选项无关
确实应该加个开关,把选择权交给用户
使用dnsmasq转发/防火墙转发 这个是clash行为 且目前防火墙转发不支持IPV6 DNS 重定向是路由器行为,劫持所有53请求到dnsmasq,可能会有clash有冲突
目前我对clash的建议: 防火墙转发: 需要增加IPV6防火墙转发(就算防火墙转发后,用户仍然使用到V6的dnsmasq) dns劫持:默认开启劫持,但可以手工关闭,(与dnsmasq联动,或者展示dnsmasq设置并提示),
目前我对用户的建议: IPV6环境下,不要用防火墙转发,建议用dnsmasq转发,确保V4V6都能走到clash 最好关闭dnsmasq劫持
Verify Steps
OpenClash Version
v0.46.014-beta
Bug on Environment
Immortalwrt
OpenWrt Version
ImmortalWrt 23.05.2, r27625-416c8c5c91
Bug on Platform
Linux-arm64
Describe the Bug
luci界面下,插件设置》DNS设置》本地DNS劫持, 三个选项
选择第二项,使用dnsmasq转发,实际上仍然会在防火墙加入劫持规则
To Reproduce
模式:Fake-IP(TUN-混合)模式【UDP-TUN,TCP-转发】
本地DNS劫持
选择使用dnsmasq转发
,启动openclash,查看防火墙劫持规则nft list chain inet fw4 dstnat
OpenClash Log
OpenClash Config
No response
Expected Behavior
本地DNS劫持的三个选项按字面意思,第一项不做额外操作,第二项仅将clash dns作为dnsmasq的上游,第三项才会使用iptables/nft劫持所有53端口的流量重定向到clash dns
Additional Context
我注意到luci界面上方有提示
但是我并没有设置过客户端访问控制,且在
Fake-IP(TUN-混合)模式【UDP-TUN,TCP-转发
模式下似乎也根本没有展示客户端访问控制
这个设置tab, 因此我认为也不可能是因为此让启动脚本实际运行时自动切换到第三项使用防火墙劫持DNS。