V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  yyysuo  ›  全部回复第 6 页 / 共 58 页
回复总数  1141
1 ... 2  3  4  5  6  7  8  9  10  11 ... 58  
@mouyase 我第一看大佬的方案的时候,看哭了。
@povsister 大佬来喽,之前就拜读过你的方案了,说实话,太高深了,v2 上能搞明白搞定的也不多吧,我也有个整套的方案(小白写的小白版本),大佬要部署也是分分钟,无聊试下呢? https://github.com/IrineSistiana/mosdns/discussions/837

dns 分流部分借助 mosdns:
1:国内域名列表的国内 dns 解析
2:国外域名列表的直发 fakeip
3:不在列表中的,带拨号的公网 IP 作为 ecs 发到 8888 ,返回国外 ip 的,丢弃,发 fakeip ,是国内 ip 就接受(很提升体验,借助谷歌 ecs 分流)。

openwrt 防火墙部分
只劫持电报 ip 、奈飞 ip 、8888 等国外 dns 、fakeip 去到 sing-box tproxy/redirect 入站。
@mouyase 不在列表中的,带本地的 ecs ip 去 8888 解析,解析之后是国外 ip 再发 fakeip ,这个逻辑加上,体验就非常棒了,不知道泡泡 dns 有没有这么搞。
@povsister 理论上如此,实际上你说的这些问题,基本上不存在了,特别是 fakeip 网关这个方案,体验极好,当然个人喜好是没有问题的,实在无聊的时候体验下,可能会有新的认识。
@bobryjosin 入侵性太强不太理解,对于一个域名获取对应的 ip ,不管是真的还是假的,只有可达不可达两种状态,科学网关挂了,不管真假,都不会可达的,结果并没有不同,现在的 fakeip ,ttl 基本上给 1 ,没什么残余的影响;另外典型的 fakeip 网关,客户端的 dns 和网关都应该是主路由,不经过 dns 的 ip 直接发起来的连接,默认是直连的。
@bobryjosin 有个电报群的群友,之前大部分是你这个方案,现在全改 fakeip 网关了。
@nilai 目前已知的,就电报 IP 、netflix ip 、国外 dnsip 、fakeip 共 4 种需要设置路由表,加起来就几十个路由条目吧,如果全劫持,就要排除内网网段等 IP ,反而更麻烦,直接粘给你算了。


table inet singbox {
set local_ipv4 {
type ipv4_addr
flags interval
elements = {
28.0.0.0/8,
8.8.8.8/32,
8.8.4.4/32,
1.0.0.1/32,
1.1.1.1/32,
9.9.9.9/32,
8.41.4.0/24,
23.23.189.144/28,
23.246.0.0/18,
34.195.253.0/25,
37.77.184.0/21,
38.72.126.0/24,
45.57.0.0/17,
52.24.178.0/24,
52.35.140.0/24,
54.204.25.0/28,
54.213.167.0/24,
64.120.128.0/17,
66.197.128.0/17,
69.53.224.0/19,
103.87.204.0/22,
108.175.32.0/20,
185.2.220.0/22,
185.9.188.0/22,
192.173.64.0/18,
198.38.96.0/19,
198.45.48.0/20,
203.75.84.0/24,
203.198.13.0/24,
203.198.80.0/24,
207.45.72.0/22,
208.75.76.0/22,
210.0.153.0/24,
91.108.56.0/22,
91.108.4.0/22,
91.108.8.0/22,
91.108.16.0/22,
91.108.12.0/22,
149.154.160.0/20,
91.105.192.0/23,
91.108.20.0/22,
185.76.151.0/24,
95.161.64.0/20
}
}

set local_ipv6 {
type ipv6_addr
flags interval
elements = {
2001:b28:f23d::/48,
2001:b28:f23f::/48,
2001:67c:4e8::/48,
2001:b28:f23c::/48,
2a0a:f280::/32,
2607:fb10::/32,
2620:10c:7000::/44,
2a00:86c0::/32,
2a03:5640::/32,
fc00::/18
}
}

set router_ipv4 {
type ipv4_addr
flags interval
elements = {
28.0.0.0/8,
8.8.8.8/32,
8.8.4.4/32,
1.0.0.1/32,
1.1.1.1/32,
9.9.9.9/32
}
}

set router_ipv6 {
type ipv6_addr
flags interval
elements = {
fc00::/18
}
}

chain singbox-tproxy {
meta l4proto udp meta mark set 1 tproxy to :7895 accept
}

chain singbox-mark {
meta mark set 1
}

chain mangle-prerouting {
type filter hook prerouting priority mangle; policy accept;
ip daddr @local_ipv4 meta l4proto udp ct direction original goto singbox-tproxy
ip6 daddr @local_ipv6 meta l4proto udp ct direction original goto singbox-tproxy
}

chain mangle-output {
type route hook output priority mangle; policy accept;
ip daddr @router_ipv4 meta l4proto udp ct direction original goto singbox-mark
ip6 daddr @router_ipv6 meta l4proto udp ct direction original goto singbox-mark
}

chain nat-prerouting {
type nat hook prerouting priority dstnat; policy accept;
ip daddr @local_ipv4 meta l4proto tcp redirect to :7899
ip6 daddr @local_ipv6 meta l4proto tcp redirect to :7899
}

chain nat-output {
type nat hook output priority filter; policy accept;
ip daddr @router_ipv4 meta l4proto tcp redirect to :7899
ip6 daddr @router_ipv6 meta l4proto tcp redirect to :7899
}
}
@mouyase 哦,明白了。那刚才我说的那个问题,我的科学网关是 sing-box puer 版本,偶发的会出现我前帖说的问题,所以干脆把 dns 网关 主路由 3 合一了,本质上也是 fakeip 分流,分流用 mosdns ,就规避了这个问题。泡泡网关用的是 mihomo ,不知道有没有在防火墙规则中添加规则,防止电报 IP 这种再发回到主路由。
感谢分享,很好,我也有一套方案,只需要 openwrt 就行了,根源也是泡泡的方案,你可以看看。另外有个问题,屏蔽掉对 FakeIP 的 NAT 是什么作用,防止回环吗?比如电报 IP ,主路由静态到网关,如果网关发回到主路由,肯定就炸了,是为了防止这种情况吗?

https://github.com/IrineSistiana/mosdns/discussions/837
80 天前
回复了 qwerthhusn 创建的主题 程序员 如何强行吃透一座屎山代码?
当然是打包引用了,没有 bug 就别改了,我估计也没人能说得清业务需求。
基本思路还是抄的泡泡的方案,核心是 mosdns 根据域名分流。

https://blog.03k.org/post/paopaogateway.html
@D7S 对于不在任何域名列表中的域名,mosdns 可以实现先带 ecs 向 8888 查询,然后根据 8888 返回的结果,来决定给客户端 fakeip 还是 real ip ,这是你列出的几个项目的 dns 模块无法做到的,sing-box 的某个 fork 可以做到,但是还是 mosdns 更熟悉些。
82 天前
回复了 AdamCao 创建的主题 NAS 裸 debian NAS + ipv6 pt 的解决方案
https://github.com/IrineSistiana/mosdns/discussions/837

3:bt/pt 的 ip 连接天然直连。
4:对未知域名有自行判断分流的能力。
相当不错,只是原来的快捷方式和搜索栏不能用了,能保留的话最好。
@radeon019 winscp 很简单的,学学就会。
@radeon019 附件里面有文字教程啊,还有图呢,好歹看看啊。
@snipking 我之前也是这么想的,后来发现自己家只有 4 部手机,2 部 pad ,2 台电视需要改,并且不是智能设备那种很麻烦的重置的方法去改,然后就改了 。
@timeance 我用米家的万能红外遥控控制 sony 电视,就是弄了几十个语音控制命令,从中央一到中央十三,各省级台什么的,确实非常傻,但是能用,兼容性好啊。
@snipking 把 5G 独立出来弄新的 wifi 名,连接 5G 的一般只有有限的手机电脑,智能设备大部分是 2.4G 的,就不用重新连接了。
1 ... 2  3  4  5  6  7  8  9  10  11 ... 58  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1097 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 23ms · UTC 19:27 · PVG 03:27 · LAX 11:27 · JFK 14:27
Developed with CodeLauncher
♥ Do have faith in what you're doing.