3

谈谈我的 DNS 治污方案

 2 years ago
source link: https://www.v2ex.com/t/809036
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

V2EX  ›  DNS

谈谈我的 DNS 治污方案

  shinichii · 2 小时 10 分钟前 · 363 次点击
开个小号来聊聊……可能是出于性格原因,我对 DNS 有一种近乎于洁癖的要求,所以在意识到 DNS 的重要性之后,就在两年前摸索适合自己的解决方案。在经过反复折腾和长时间运作之后,感觉效果基本达到预期,也就有了这篇碎碎念,大家可以根据自己情况来改进。

这个方案需要两只小鸡,小鸡一号位于不远的异国他乡,运行 AdGuard Home,作用是从源头得到尽可能干净安全的 DNS,兼顾去广告。上游使用加密 cloudflare 和 Google 的 DNS,需要设置客户端白名单,把家里的 IP 地址段加进来。一号鸡本身申请个证书,拿到后在 AdH 里面启用加密来运行自己的 DNS 服务,根据需要可改端口。

小鸡二号在家里或单位,可以是 WS 或 Linux,看程序支持情况。这里我选择的是 Overture (其他轮子还有 smartdns 、coredns 等等)。二号只运行在局域网内,只通过加密方式获取一号的 DNS 信息,另外还要承担分流、缓存等作用,如果你高兴还可以再次去一遍广告。最后家里各个客户端使用这个二号鸡做 DNS 服务器就可以了,如此这般就基本做到了从始至终都是走加密通道,彻底排污治污。

有些细节要说一下,为啥叫“基本”呢,因为目前为了快一些国内部分我在二号鸡上用的是国内 DNS,如果想更纯,国内也可以加密,但不知道实际意义有多大,我觉得有点太过于极端,但还是要根据各自的实际情况。

第二个是如果路由器上用的是梅林和那个插件,那么还要额外设置才能让路由器也走二号鸡,可以用关键词“KoolShare 梅林固件设置自定义 DNS”来搜,插件里的“DNS 劫持”功能也最好关掉。

第三是这个方案缺点是无法在 AdH 里面看到各个终端的情况,当然你可以在二号上套娃一个 AdH,但分流不太方便,没有 Overture 灵活。另一个缺点是对于一号鸡的稳定性是个考验,你可以配置多个一号鸡,那么成本就高上去了,或者事先想好备用用啥,或者不做路由器上的调整,不至于全部 gg 。

另外还有一些细节可以讨论,比如缓存设置多大、用 DoT 还是 DoH 、是否有更好的 AdH 替代品等等。希望能抛砖引玉,看看还有没有优化空间(那么只有砸钱了)。

report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK