crzidea

@Immunize 你说的这个对，我设置了 zone wan input ACCEPT 。但是为了游戏联机体验，还是得开。把端口规则加上得了。

@username1919810 我也没想到没阻断，我一直以为是阻断了的，之前也从来没看到过来自外网的访问记录。电信。

@dalaoshu25 别光说些无知挑衅的让人看不起。你要是有理有据，拿出来跟大家讲讲看看你的逻辑和依据啊。还让别人自求多福，让人看不起。

@dalaoshu25
@laiyibeimeishi
@peasant
行啦，哎呦，真是见识到生物多样性了，有的人脑子的逻辑和正常人就是不一样。今天给你们上一课：
1. 一看你们就是没自己搞过 OpenWRT 和 Dnsmasq ，OpenWRT 和 Dnsmasq 默认都是开放 53 端口给所有 interface 的，参考 https://openwrt.org/docs/guide-user/base-system/dhcp#all_options ，搜索 interface ，看看默认值是什么。
2. 不懂法还不懂装懂就离谱，尴尬得我都浑身不得劲了。你带茅台和中华上街，拿着手累临时把烟酒放在路边，结果有个未成年的熊孩子把烟酒拿走了，这算不算『为未成年人提供烟酒』？『提供烟酒』和『开展服务』的关键都是主观意向和行为。还『非法』，真是尴尬得脚指头都抽筋了。
3. 你们不关注主动发起攻击的人，反而不懂装懂的挑衅被攻击的人，这个价值观没救了，还是回炉重造吧。

@LuvF 我有点忘了需要给 token 哪些权限了，如果试过的话帮忙发一下权限列表，谢谢啦～

@jqtmviyu 并不能。嗅探只在特定支持的客户端解决了映射问题，比如多个域名共用一个 IP ，解决的是客户端侧的已知规则内的路由问题，对于不在已知规则里的域名是没有任何作用的，而且并不会和服务端有什么关系，因为需要服务端协议支持。除了没解决问题以外，嗅探只支持没有启用 HTTPS 协议，而且域名一旦启用 ECH 连嗅探都不能用了，而且还必须得使用特定客户端。

@alamak76 用哪个库不重要吧。我试过用不同服务提供的 GeoIP 查询接口，但是测试下来还是 D1 查询延时更低，D1 里的数据库从哪儿拉下来的也不太重要，只有有而且能更新就可以了。反而是不要太大，否则的话更新起来会比较麻烦。

这里有不同的实现。
https://github.com/crzidea/doh/blob/93beafaa534a08aa65a8af0444f4e10da87a12e1/workers.js#L245

@yxmyxmyyy @SenLief @ciki @journalist 大家不用纠结白名单和黑名单的问题哈，不管是白名单还是黑名单，已知的名单仍然还是用起来速度更快，关键是不在名单里的域名，有可能存在国内（ ISP ）、日本（ CDN ）、美国（ VPN ）三种情况，这类的未知域名，不管使用之前的哪个单个 DNS 都覆盖不全，这个时候就需要这个 DoH 来补位了。具体一点说，把这个设置为 default 就可以，cn 和 !cn 的仍然使用你们现在的规则就可以。
还有就是很多人提到的 mosdns 、smartdns 这类的需要在 Linux 环境中运行的服务，但是移动设备是不行的，移动设备上只能填写一个 URL ，如果连回家里或者自己的服务器，移动设备在外面的时候和家里、服务器的源 IP 都是不一样的，家里宽带是联动，手机是移动的情况下，解析结果不对会造成更糟糕的跨网访问问题。而且在自己服务器上运行的话是有运维成本的，在家里运行也需要公网 IP 。