V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  povsister  ›  全部回复第 41 页 / 共 41 页
回复总数  813
1 ... 32  33  34  35  36  37  38  39  40  41  
@mohumohu #28
FakeDNS 的缓存有效期这个还真取决于客户端... 3 秒或者 1 秒明显是不可能的,有些应用甚至还有自己单独的 DNS 缓存(没错,chrome 就是)

自动化这点,从 geoip 规则文件载入 CIDR 这点还是不算复杂的。
至于开源数据的可信程度,一个要评估攻击面,另一个要评估攻击产生的后果。xz 供应链投毒的事情还历历在目,那个确实攻击面很大,后果也极其严重。
但对于各位魔法人来说,在开源规则里投毒可能不亚于关公面前耍大刀(笑。而且哪怕有问题,其造成的后果也完全可以接受。

顺带对楼上某些人重申一下,本帖的目的是分享和讨论解决方案,如果你喜欢,自然可以拿去用。
如果不喜欢,请你也不要大秀自己优越,无理由无根据的随口拉踩。

敢问,是你自己写了方案分析了利弊,还是亲自做了实现完成了目的?仿佛捡到一把香蕉逢人炫耀的猴子。
@mohumohu #26
从你的解释看来,我对“嗅探目标”存在误解。这点确实,只有连接性不佳或者被墙的域名会存在 FakeDNS 污染。
但是这一前提条件是建立在:使用 GFW 黑名单这一规则之上。

如果使用大陆白名单,则海外域名都会被污染,离开家庭网络后这一污染会持续到 DNS 缓存过期为止。
而且嗅探这一操作具有局限性:比如只能主要作用于 http 流量,以及 TLS 相关协议,后面还有 Encrypted SNI ,会使嗅探的工作环境进一步恶化。

静态路由问题,本方案下的静态路由只需要在配置里新增一行 "persistentRoute": ["geoip:telegram"] ,路由规则集的生效和更新是完全自动化的。而光猫之类的操作需要手动进行。
@mohumohu #24
1. 嗅探的前提是所有流量从代理软件经过,以 FakeDNS 作为路由分流的前提情况下,嗅探是无法实现的。
2. 推测说法,不予取信。而且方案正确性不应该依赖客户端行为。
3. 电信设备很难快捷方便的添加这种静态路由,并且保持无感更新。楼上我也解释过了,把配置分散到各处是管理起来心智负担很大的一种做法。
4. 不是所有设备都支持这种操作,和 2 一样,依赖客户端行为。

而且就 FakeDNS 的实现来说,其也存在“路由多一跳”的问题,而且还额外带来了 DNS 污染问题。
@FrankAdler #20
灵活,all in one 应该是本方案最大的优势。
传统的 dnsmasq+gfwlist+ipset 属于黑名单模式,全量载入规则或多或少会影响主路由转发性能。而且手动排除/添加规则都尤为麻烦,需要路由+代理软件配合操作。

本方案则是依个人喜好,GFW 黑名单,大陆白名单均可,而且可以依据个人需求灵活增删规则。还有我文末提到的,远程组网,DNS 分流,全部配置都集中在*ray-core 的配置文件里。

实现上,路由条目是按需通告+不活动废弃,包括*ray-core 的关闭都做了优雅停止,会自动从主路由上 flush 掉所有指向旁路的路由条目。结合社区活跃更新的 rules dat ,配置的心智负担和传统方案相比是降低了非常多。
@bluaze #19
高峰期问题确实不好解决,我 ISP 是电信并且有加钱精品网,目前 GFW 黑名单+部分定制黑名单的使用体验尚可。

你提到的这个,无法界定是否黑白的薛定谔域名解析方案确实蛮常用的。在*ray-core 的路由模块增加一个 geoip:cn 的直连规则,然后默认走 proxy 即可。但本质仍然属于大陆白名单模式,只是额外增加了国内 DNS 解析这一步骤进行可能的优化(但我认为存在 DNS 污染的风险)

mosdns 问题是其功能并没有*ray-core 这么全面,我其实不太在意这个东西会不会被上游接受,只是分享一个自己研究出来最适合我的方案。
尤其是 v2ray-core 本身模块化设计的很好(甚至有点过度设计),从代码层面来说都不算魔改,我只是增加了一个子应用进去,后期 follow 上游的更新应该问题不大。xray 粗略看了下代码删了很多设计模式,倒是代码直观了很多。
@jdjingdian #18 chnroutes 这个东西不是那么准确,基于 IP 的规则更新频率和准确度都是远不如域名规则的。所以这个也是我开发本方案的原因之一。
另外一个原因就是,如果被转发到透明代理的流量被 direct 出去,TCP/UDP 流量还好,一般来说默认会被透明代理 srcnat 掉,而其他类型的 IP 报文则直接会产生环路。这也是上文提到并解决掉的一个问题。
@cnbatch #16
感谢解释… 我个人有蹭朋友专线倒是没留意过 UDP 传输层的这些问题。
*ray 圈子这个风气我不好评价(当然就你链接这个情况,确实有点离谱),我个人也只是使用并未深度参与。
QUIC 问题 v2ray 和 xray 据我所知应该都是单纯 follow 的上游实现,不愿意去针对魔法适配一些东西可以理解。

@cnbatch
@cnbatch #14
底层走 UDP ,属于 Transport ,KCP/QUIC 都是基于 UDP 实现的,你所希望的应该是可以通过这俩传输层协议支持的啊,上层代理协议无所谓,只要传输层协议是 UDP 就可以了。
@cnbatch #12 *ray 的 UDP 问题我在用这个方案后也有碰到,仔细调研了一下发现 Xray 在 UDP 上做了更多改进。
目前,据 Xray 的主要开发者自己说,全系协议都可以支持 FullCloneNAT ,所以我才在 Xray 社区也开了一帖讨论,未来可能会抽时间移植到 Xray 上去。

至于隧道/专线内跑代理协议,目前有 VLESS 这种不加密的协议可供选择。目前来看我应该还是主力用*ray 系列的工具,毕竟有能力去做定制。
@cnbatch #9 你是不是在寻找:FakeDNS ?
我接受不了 FakeDNS 的缺点有三
1. 重启魔法的时候,映射关系会变,得挨个清 DNS cache ,有些设备还清不了
2. 出门、切换网络后,污染的 DNS 还会持续一段时间,魔法挂了同理
3. FakeDNS 无法从根本上一劳永逸解决 telegram 这种不用 DNS 的怪胎

另外,主路由本身就是传统路由设备,基于路由表多一跳的代价,和透明代理那种经过用户态处理再转发的代价完全不能相提并论。
啊??
@SAGAN
你说的这些除了 SmartDNS 外,ROS 上确实都可以实现,而且由于 DNS 本身的复杂性,我觉得这个工作还是交给旁路由做策略比较好。至于文中我提到的 DNS 的容灾问题,ROS 应该也可以写脚本检测状态并切换 DNS 配置,这个我有空去看看它文档。

另外我不是很推荐在网关上用 CN IP 白名单模式,因为不是所有的海外网站都被墙,非 CN IP 全走代理会导致很多无谓的代理流量消耗。<del>还是我太穷了.jpg</del>
245 天前
回复了 ratmond 创建的主题 宽带症候群 iPad 使用腾讯视频时出现大量上传
国内视频/直播 app 基本都在用 p2p ,楼上说的改 NAT 等操作没太大用,基本都自建的有 stun server 去打洞的。
最好办法是屏蔽 tracker 域名,屏蔽 PCDN 相关域名,强制播放器降级走正规 CDN 。
1 ... 32  33  34  35  36  37  38  39  40  41  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2778 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 21ms · UTC 12:04 · PVG 20:04 · LAX 04:04 · JFK 07:04
Developed with CodeLauncher
♥ Do have faith in what you're doing.