Clash DNS 防污染/防泄漏配置详解(fake-ip 实战)
DNS 是影响代理质量最关键、也最容易被忽略的一环。配错会导致分流不准、DNS 污染、甚至泄漏真实位置。本文讲清 fake-ip 机制和各字段作用,并给一份可直接套用的模板。
为什么要单独配 DNS
如果用系统默认 DNS,运营商可能返回被污染的错误 IP,导致海外网站打不开或被劫持到广告页。Clash(Mihomo)内置 DNS 模块,可对不同类型的域名用不同的 DNS 服务器解析,从而做到国内用国内 DNS、海外用加密 DNS(DoH/DoT),既准又防污染。
fake-ip vs redir-host
- fake-ip(推荐):收到 DNS 请求时立刻返回一个
198.18.0.0/16范围的假 IP,规则匹配在域名阶段就完成,延迟更低、分流更准、能有效防泄漏。开 TUN 时通常强制使用。 - redir-host:真实解析域名后再按 IP 匹配,兼容性好但较慢、易受污染,仅在 fake-ip 不兼容个别场景时用。
关键字段作用
| 字段 | 作用 |
|---|---|
nameserver | 默认 DNS,解析命中代理的境外域名,推荐用 DoH(Cloudflare/Google) |
proxy-server-nameserver | 专门解析机场节点域名,用国内公共 DNS,确保节点域名不被污染、解析快 |
direct-nameserver | 解析直连域名,可设 system 用系统 DNS,国内站点更快 |
fake-ip-filter | 白名单,匹配的域名跳过 fake-ip,须含 .lan/.local 等内网域名 |
可直接套用的模板
dns:
enable: true
ipv6: false
enhanced-mode: fake-ip
fake-ip-range: 198.18.0.1/16
fake-ip-filter:
- "*.lan"
- "*.local"
- "+.msftconnecttest.com"
- "+.msftncsi.com"
# 解析节点域名(国内 DNS)
proxy-server-nameserver:
- https://223.5.5.5/dns-query
- 119.29.29.29
# 境外域名解析(加密 DNS)
nameserver:
- https://1.1.1.1/dns-query
- https://8.8.8.8/dns-query把它放进扩展配置而非直接改订阅,订阅更新就不会覆盖(做法见 自定义规则)。
IPv6 建议:家庭宽带多数情况下设
ipv6: false,避免 IPv6 流量绕过代理导致泄漏或访问异常。验证有没有 DNS 泄漏
访问 dnsleaktest.com 运行 Extended Test,看返回的 DNS 服务器是否为你期望的海外 DNS;再用 ipinfo.io 确认出口 IP 是节点所在地。若仍泄漏,检查是否启用了 fake-ip、IPv6 是否关闭。
⚠️ 免责声明:本文为开源软件使用教程,本站不提供任何节点、VPN 或机场服务。请遵守所在地区法律法规,合理合法使用网络工具。