分享一个openwrt x86 fakeip网关/分流的全套方案，带ipt/nft规则，带mosdns全套配置，sing-box支持订阅，带ios回家配置，自用很久了。

[yyysuo]

x86 openwrt配置sing-box透明代理 nft ipt fakeip网关模式 20240906.zip

1：mosdns只缓存非fakeip，不缓存fakeip，国内国外域名并发匹配，不泄露。
2：ipt/nft只劫持fakeip段，没有ipset变大缓慢的问题。
3：bt/pt的ip连接天然直连。
4：对未知域名有自行判断分流的能力。

需要的东西全在附件中，自取。

20241018：更新了一些mosdns逻辑
mosdns更新说明.zip

20241029更新，优化了一下逻辑：
mosdns-ph-20241029.zip

20241119更新，添加了泄露版本配置，优化了一些逻辑。
mosdns-ph-20241119.zip

20241129更新，优化了一些逻辑
mosdns-ph-20241129.zip
。
20241206更新，优化了一些逻辑，建议更新
mosdns-ph-20241206.zip

20250113更新，修复了问题，建议更新。
mosdns-ph-20250113.zip

20250113更新IOS回家配置
针对手机到了跨运营商的网络的情况做了优化，还是dns全回家，fakeip回家，real ip会重新在手机当前的网络请求223.5.5.5获取适合当前运营商的IP后直连。
ios hy2回家配置 20250103 分享版本.txt

[uioprr]

来自D版带着爱

[llity]

谢谢分享，用着可以，我主要用mosdns分流国外转发给 sing-box，我把forward_fakeip的IP修改了。还有下面代码主要作用是什么，我用的docker安装mosdns，是否不需要下面的处理，谢谢

####################对外服务端口定义部分############
#解析节点域名的服务器
  - tag: sbnode_udp
    type: udp_server
    args:
      entry: sequence_sbnode
      listen: ":7777"

  - tag: sbnode_tcp
    type: tcp_server
    args:
      entry: sequence_sbnode
      listen: ":7777"

#sing-box使用的服务器
  - tag: sb_udp
    type: udp_server
    args:
      entry: sequence_sb
      listen: ":8888"

  - tag: sb_tcp
    type: tcp_server
    args:
      entry: sequence_sb
      listen: ":8888"

[yyysuo]

谢谢分享，用着可以，我主要用mosdns分流国外转发给 sing-box，我把forward_fakeip的IP修改了。还有下面代码主要作用是什么，我用的docker安装mosdns，是否不需要下面的处理，谢谢

####################对外服务端口定义部分############

#解析节点域名的服务器

  - tag: sbnode_udp

    type: udp_server

    args:

      entry: sequence_sbnode

      listen: ":7777"



  - tag: sbnode_tcp

    type: tcp_server

    args:

      entry: sequence_sbnode

      listen: ":7777"



#sing-box使用的服务器

  - tag: sb_udp

    type: udp_server

    args:

      entry: sequence_sb

      listen: ":8888"



  - tag: sb_tcp

    type: tcp_server

    args:

      entry: sequence_sb

      listen: ":8888"

是的 不需要 如果用我发的sb配置 就需要了 。

[llity]

发现一个问题，请教怎么修改配置文件，解决对列表外的国外域名无法返回正确的DNS查询结果的问题。谢谢
（1）比如下面我用的docker是否 socks5: "127.0.0.1:7890" 应该删除。

  # 转发到Google DNS的设置
  - tag: forward_google
    type: forward
    args:
      concurrent: 1
      upstreams:
        - addr: "https://8.8.8.8/dns-query"
          socks5: "127.0.0.1:7890"  # 使用本地socks5代理

（2）- exec: drop_resp 删除后才能正常返回一些列表外的域名DNS查询。

  # 列表外域名的处理逻辑
  - tag: sequence_not_in_list
    type: sequence
    args:
      # - exec: drop_resp  # 丢弃不必要的IP响应
      - exec: $sequence_google

访问 appstorrent.ru 部分错误信息，172.16.1.2是adguard home服务的IP，为路由器DNS。

forward_google	upstream error	{"uqid": 8089, "qname": "appstorrent.ru.", "qclass": 1, "qtype": 1, "upstream": "https://8.8.8.8/dns-query", "error": "http request failed: socks connect tcp 127.0.0.1:7891->8.8.8.8:443: dial tcp 127.0.0.1:7891: connect: connection refused"}

2024-09-07T07:30:26.696Z	WARN	udp_main	entry err	{"query": {"uqid": 224, "client": "::ffff:172.16.1.2", "qname": "appstorrent.ru.", "qtype": 1, "qclass": 1, "elapsed": "5.000129404s"}, "error": "context deadline exceeded"}

[yyysuo]

发现一个问题，请教怎么修改配置文件，解决对列表外的国外域名无法返回正确的DNS查询结果的问题。谢谢 （1）比如下面我用的docker是否 socks5: "127.0.0.1:7890" 应该删除。

  # 转发到Google DNS的设置
  - tag: forward_google
    type: forward
    args:
      concurrent: 1
      upstreams:
        - addr: "https://8.8.8.8/dns-query"
          socks5: "127.0.0.1:7890"  # 使用本地socks5代理

（2）- exec: drop_resp 删除后才能正常返回一些列表外的域名DNS查询。

  # 列表外域名的处理逻辑
  - tag: sequence_not_in_list
    type: sequence
    args:
      # - exec: drop_resp  # 丢弃不必要的IP响应
      - exec: $sequence_google

访问 appstorrent.ru 部分错误信息，172.16.1.2是adguard home服务的IP，为路由器DNS。

forward_google	upstream error	{"uqid": 8089, "qname": "appstorrent.ru.", "qclass": 1, "qtype": 1, "upstream": "https://8.8.8.8/dns-query", "error": "http request failed: socks connect tcp 127.0.0.1:7891->8.8.8.8:443: dial tcp 127.0.0.1:7891: connect: connection refused"}

2024-09-07T07:30:26.696Z	WARN	udp_main	entry err	{"query": {"uqid": 224, "client": "::ffff:172.16.1.2", "qname": "appstorrent.ru.", "qtype": 1, "qclass": 1, "elapsed": "5.000129404s"}, "error": "context deadline exceeded"}

1：如果能保证8888走代理，那么socks5那行直接删除就行，否则就应该设置一个可用的socks5代理；或者8888直接改为tls://223.5.5.5，但是这样有泄露。
2：其它地方不要改。
3：我的想法是直接用我的全套，要不然，就得理解原理去做出适配性修改，比较麻烦。

[lambxk]

请教一下这个怎么和daed配合呢，没太看明白

[yyysuo]

请教一下这个怎么和daed配合呢，没太看明白

dead跑在主路由上？它本身就有tproxy规则吧，我也不知道如何配合，如果是旁，那daed其实没必要了。

[lambxk]

我是准备用debian搭建个旁，跑dead加mosdns，所以想这么配合一下

[yyysuo]

我是准备用debian搭建个旁，跑dead加mosdns，所以想这么配合一下

dae会发fakeip吗？感觉好乱。

[lambxk]

可以分享一下sing-box那边的配置吗，抄一下作业

[yyysuo]

可以分享一下sing-box那边的配置吗，抄一下作业

看压缩包

[coobin]

请教一下，如果用的是shadowrocket做的代理，请问应该怎么调整配置呢？好像没有那个fakeip的功能。感谢～

[yyysuo]

请教一下，如果用的是shadowrocket做的代理，请问应该怎么调整配置呢？好像没有那个fakeip的功能。感谢～

那没办法，至少你得找个能发fakeip的。

[coobin]

谢谢解答，我目前把fake ip那个地址改为1.1.1.1了，用是能用了。先将就一下，再看看要不要换用别的代理吧。

[yyysuo]

谢谢解答，我目前把fake ip那个地址改为1.1.1.1了，用是能用了。先将就一下，再看看要不要换用别的代理吧。

dns这样倒是也能用，不过怎么保证1111解析的ip走ss呢？我前年的时候好像用过mosdns的ipset功能，你可以把判断为需要代理的域名的解析ip加到ss的ipset中去，也能用。

[lovestudygithub]

请问一下楼主，我是openclash（旁路由），但是没有ipv6，要怎么修改呢？看了几天实在是不知道如何修改，特来请问一下，万分感谢！

[yyysuo]

请问一下楼主，我是openclash（旁路由），但是没有ipv6，要怎么修改呢？看了几天实在是不知道如何修改，特来请问一下，万分感谢！

建议全抄，要不然出了问题抓瞎。实在要搞，只搞mosdns，跑在主路由上，按操作修改，然后在主路由把fakeip段、电报ip段、奈飞ip段、8888、1111设置静态路由，指向旁路由，IP段清单压缩包里面有。

[lovestudygithub]

我怕不行，因为我没有ipv6地址，我看了有tag里面是有判断ipv6的。

[yyysuo]

我怕不行，因为我没有ipv6地址，我看了有tag里面是有判断ipv6的。

没事儿，v6直接走主路由，不走旁路，你主路由没v6，就不会走v6的。

[lovestudygithub]

感谢答惑，我先去试试，还有疑问再来请教，非常感谢！！！

[aa51513]

爱了

[wuiiled]

配合mihomo的话，是把nameserver设置为127.0.0.1:8888吗

[yyysuo]

配合mihomo的话，是把nameserver设置为127.0.0.1:8888吗

nameserver原来是什么不用动，保证发fakeip的端口是7874就行 。

[Sereinfy]

      - matches: "!qtype 1 28"
        exec: $forward_google
      - matches: "!qtype 1 28"
        exec: accept

请问这里是什么意思

[yyysuo]

      - matches: "!qtype 1 28"
        exec: $forward_google
      - matches: "!qtype 1 28"
        exec: accept

请问这里是什么意思

非A、AAAA类型的dns查询，统一用8888去查询。

[000320LUCKY]

给个建议，把序列和插件分开再加上注释。还有为什么要用服务器插件转交到插件？直接执行插件也可以呀

[yyysuo]

给个建议，把序列和插件分开再加上注释。还有为什么要用服务器插件转交到插件？直接执行插件也可以呀

过期缓存不好处理，还要做判断，干脆自己调用自己，从逻辑上还清楚一些；其实本来这个配置就是跑了几个mosdns进程后来合在一块的，原来没想到还可以这样搞；本来有注释的，有些系统因为字符集的原因会乱码，干脆就删除了，反正高手能看懂，小白不需要看。

[perryyeh]

感谢，的确好用 & 省事

[airgiver]

x86 openwrt配置sing-box透明代理 nft ipt fakeip网关模式 20240906.zip

1：mosdns只缓存非fakeip，不缓存fakeip，国内国外域名并发匹配，不泄露。 2：ipt/nft只劫持fakeip段，没有ipset变大缓慢的问题。 3：bt/pt的ip连接天然直连。 4：对未知域名有自行判断分流的能力。

需要的东西全在附件中，自取。

20241018：更新了一些mosdns逻辑 mosdns更新说明.zip

20241029更新，优化了一下逻辑： mosdns-ph-20241029.zip

20241119更新，添加了泄露版本配置，优化了一些逻辑。 mosdns-ph-20241119.zip

20241129更新，优化了一些逻辑 mosdns-ph-20241129.zip 。 20241206更新，优化了一些逻辑，建议更新 mosdns-ph-20241206.zip

20250102更新，给mosdns添加了输出域名列表和规则文件的功能，实现mosdns的规则自维护。 mosdns-ph-20250102.zip

20250106更新，一些优化。 mosdns-ph-20250106.zip

20250108更新，调整灰名单与白名单优先级，增加注意事项6，替换自己的fakeip段 mosdns-ph-20250108.zip

可以mosdns和singbox可以装在一台旁路由上吗？局域网内所有设备的dns设为旁路由ip？

[yyysuo]

可以 主路由静态路由fakeip段到旁路

[airgiver]

fakeip段就是外网ip段？
刚刚试了下用1206的配置，直接把网关和dns都指向旁路由，也可以科学，分流

[yyysuo]

fakeip段就是外网ip段？ 刚刚试了下用1206的配置，直接把网关和dns都指向旁路由，也可以科学，分流

mosdns监听旁路的53端口，旁路的防火墙只引导fakeip进sing-box的话，也能用，就是real ip的流量在旁路转了一道而已，稍微绕路，体验也不会差。

[airgiver]

体验岂止是不会差，简直太好了，fast.com 第一次跑到满速

[airgiver]

fakeip段就是外网ip段？ 刚刚试了下用1206的配置，直接把网关和dns都指向旁路由，也可以科学，分流

mosdns监听旁路的53端口，旁路的防火墙只引导fakeip进sing-box的话，也能用，就是real ip的流量在旁路转了一道而已，稍微绕路，体验也不会差。

我通过ros把fakeip段、电报ip段、奈飞ip段、8888、1111设置静态路由，指向旁路由，其他没什么问题，但是pt的ip变成了机场的ip

[bigbugcc]

x86 openwrt配置sing-box透明代理 nft ipt fakeip网关模式 20240906.zip

1：mosdns只缓存非fakeip，不缓存fakeip，国内国外域名并发匹配，不泄露。 2：ipt/nft只劫持fakeip段，没有ipset变大缓慢的问题。 3：bt/pt的ip连接天然直连。 4：对未知域名有自行判断分流的能力。

需要的东西全在附件中，自取。

20241018：更新了一些mosdns逻辑 mosdns更新说明.zip

20241029更新，优化了一下逻辑： mosdns-ph-20241029.zip

20241119更新，添加了泄露版本配置，优化了一些逻辑。 mosdns-ph-20241119.zip

20241129更新，优化了一些逻辑 mosdns-ph-20241129.zip 。 20241206更新，优化了一些逻辑，建议更新 mosdns-ph-20241206.zip

20250102更新，给mosdns添加了输出域名列表和规则文件的功能，实现mosdns的规则自维护。 mosdns-ph-20250102.zip

20250106更新，一些优化。 mosdns-ph-20250106.zip

20250108更新，调整灰名单与白名单优先级，增加注意事项6，替换自己的fakeip段 mosdns-ph-20250108.zip

20250110更新，添加resend工具 mosdns-ph-20250110.zip

建议开一个新的Repo做更新，方便大家一同跟进和维护。

[yyysuo]

x86 openwrt配置sing-box透明代理 nft ipt fakeip网关模式 20240906.zip
1：mosdns只缓存非fakeip，不缓存fakeip，国内国外域名并发匹配，不泄露。 2：ipt/nft只劫持fakeip段，没有ipset变大缓慢的问题。 3：bt/pt的ip连接天然直连。 4：对未知域名有自行判断分流的能力。
需要的东西全在附件中，自取。
20241018：更新了一些mosdns逻辑 mosdns更新说明.zip
20241029更新，优化了一下逻辑： mosdns-ph-20241029.zip
20241119更新，添加了泄露版本配置，优化了一些逻辑。 mosdns-ph-20241119.zip
20241129更新，优化了一些逻辑 mosdns-ph-20241129.zip 。 20241206更新，优化了一些逻辑，建议更新 mosdns-ph-20241206.zip
20250102更新，给mosdns添加了输出域名列表和规则文件的功能，实现mosdns的规则自维护。 mosdns-ph-20250102.zip
20250106更新，一些优化。 mosdns-ph-20250106.zip
20250108更新，调整灰名单与白名单优先级，增加注意事项6，替换自己的fakeip段 mosdns-ph-20250108.zip
20250110更新，添加resend工具 mosdns-ph-20250110.zip

建议开一个新的Repo做更新，方便大家一同跟进和维护。

chatgpt写的，只是做了一些测试的工作，各位大佬觉得好玩拿去用就行了，没有能力去阅读相关的代码。

[rzwt]

/opt/adguardhome/work # nslookup google.com 127.0.0.1:5335
Server: 127.0.0.1:5335
Address: 127.0.0.1:5335

** server can't find google.com: SERVFAIL

** server can't find google.com: SERVFAIL

/opt/adguardhome/work # nslookup google.com 127.0.0.1:53
Server: 127.0.0.1:53
Address: 127.0.0.1:53

** server can't find google.com: SERVFAIL

** server can't find google.com: SERVFAIL

/opt/adguardhome/work # nslookup google.com 127.0.0.1:35
nslookup: write to '127.0.0.1:35': Connection refused
;; connection timed out; no servers could be reached

/opt/adguardhome/work # nslookup google.com 127.0.0.1:8888
Server: 127.0.0.1:8888
Address: 127.0.0.1:8888

Non-authoritative answer:
Name: google.com
Address: 142.251.33.110

Non-authoritative answer:

/opt/adguardhome/work # nslookup google.com 127.0.0.1:7777
Server: 127.0.0.1:7777
Address: 127.0.0.1:7777

Non-authoritative answer:
Name: google.com
Address: 59.24.3.174

Non-authoritative answer:

/opt/adguardhome/work # nslookup google.com 127.0.0.1:2222
Server: 127.0.0.1:2222
Address: 127.0.0.1:2222

Non-authoritative answer:

Non-authoritative answer:
Name: google.com
Address: 8.7.198.46

/opt/adguardhome/work # nslookup google.com 127.0.0.1:3333
Server: 127.0.0.1:3333
Address: 127.0.0.1:3333

Non-authoritative answer:
Name: google.com
Address: 142.250.196.206

Non-authoritative answer:
Name: google.com
Address: 2404:6800:4012:6::200e

/opt/adguardhome/work # nslookup google.com 127.0.0.1:4444
Server: 127.0.0.1:4444
Address: 127.0.0.1:4444

Non-authoritative answer:
Name: google.com
Address: 142.250.198.206

Non-authoritative answer:
Name: google.com
Address: 2404:6800:4005:821::200e

#主分流服务器

• tag: udp_main
  type: udp_server
  args:
  entry: sequence_main
  listen: ":5335"

• tag: tcp_main
  type: tcp_server
  args:
  entry: sequence_main
  listen: ":5335"
  idle_timeout: 720

大佬看一下这是怎么回事
#转发dns请求到cf dns

• tag: forward_cf
  type: forward
  args:
  concurrent: 1
  upstreams:
  - addr: "https://dns.cloudflare.com/dns-query"
  dial_addr: "1.1.1.1"
  socks5: "10.0.0.1:7891"

#转发请求到阿里dns

• tag: forward_local
  type: forward
  args:
  concurrent: 2
  upstreams:
  - addr: "https://dns.alidns.com/dns-query"
  dial_addr: "223.5.5.5"
  enable_http3: true
  - addr: "quic://223.5.5.5"

#转发请求至sing-box/mihome dns请求fakeip

• tag: forward_fakeip
  type: forward
  args:
  concurrent: 1
  upstreams:
  - addr: "tcp://10.0.0.1:7874"
  idle_timeout: 720

google.com 主端口返回不了IP

[rzwt]

mosdns-adguardhome:~# nslookup google.com 10.0.0.1:7874
Server: 10.0.0.1:7874
Address: 10.0.0.1:7874

Name: google.com
Address: 198.18.0.9

mosdns-adguardhome:~# nslookup google.com 127.0.0.1:5454
Server: 127.0.0.1:5454
Address: 127.0.0.1:5454

** server can't find google.com: SERVFAIL

** server can't find google.com: SERVFAIL
哪里的问题呢？？？？

[yyysuo]

mosdns-adguardhome:~# nslookup google.com 10.0.0.1:7874 Server: 10.0.0.1:7874 Address: 10.0.0.1:7874

Name: google.com Address: 198.18.0.9

mosdns-adguardhome:~# nslookup google.com 127.0.0.1:5454 Server: 127.0.0.1:5454 Address: 127.0.0.1:5454

** server can't find google.com: SERVFAIL

** server can't find google.com: SERVFAIL 哪里的问题呢？？？？

先严格按照说明检查一遍，mosdns完整配置传一下，可以帮你看看。

[rzwt]

log:
level: error
file: "/tmp/mosdns.log"

api:
http: "0.0.0.0:9099"

include: []

plugins:
#访问过的realip的域名清单和生成规则

• tag: my_realiplist
  type: domain_output
  args:
  file_stat: /cus/mosdns/gen/realiplist.txt
  file_rule: /cus/mosdns/gen/realiprule.txt
  max_entries: 3000
  dump_interval: 36005

#访问过的fakeip的域名清单和生成规则

• tag: my_fakeiplist
  type: domain_output
  args:
  file_stat: /cus/mosdns/gen/fakeiplist.txt
  file_rule: /cus/mosdns/gen/fakeiprule.txt
  max_entries: 1000
  dump_interval: 36010

#生成的realip规则

• tag: my_realiprule
  type: domain_set
  args:
  files:
  - "/cus/mosdns/gen/realiprule.txt"

#生成的fakeip规则

• tag: my_fakeiprule
  type: domain_set
  args:
  files:
  - "/cus/mosdns/gen/fakeiprule.txt"

#中国域名列表的过期缓存

• tag: cache_cn
  type: cache
  args:
  size: 20000000
  lazy_cache_ttl: 259200000
  dump_file: /cus/mosdns/cache_cn.dump
  dump_interval: 36000

#列表外域名的过期缓存

• tag: cache_google
  type: cache
  args:
  size: 20000000
  lazy_cache_ttl: 259200000
  dump_file: /cus/mosdns/cache_google.dump
  dump_interval: 36000

#节点域名列表的过期缓存

• tag: cache_node
  type: cache
  args:
  size: 20000000
  lazy_cache_ttl: 259200000
  dump_file: /cus/mosdns/cache_node.dump
  dump_interval: 36000

#中国域名列表

• tag: geosite_cn
  type: domain_set
  args:
  files:
  - "/cus/mosdns/unpack/geosite_cn.txt"

#中国IP列表

• tag: geoip_cn
  type: ip_set
  args:
  files:
  - "/cus/mosdns/unpack/geoip_cn.txt"

#国外域名列表

• tag: geosite_no_cn
  type: domain_set
  args:
  files:
  - "/cus/mosdns/unpack/geosite_geolocation-!cn.txt"

#自定义白名单域名列表

• tag: whitelist
  type: domain_set
  args:
  files:
  - "/cus/mosdns/rule/whitelist.txt"

#屏蔽域名列表

• tag: blocklist
  type: domain_set
  args:
  files:
  - "/cus/mosdns/rule/blocklist.txt"

#屏蔽V4解析的域名列表

• tag: blocklistv4
  type: domain_set
  args:
  files:
  - "/cus/mosdns/rule/blocklistv4.txt"

#屏蔽V6解析的域名列表

• tag: blocklistv6
  type: domain_set
  args:
  files:
  - "/cus/mosdns/rule/blocklistv6.txt"

#国外dns解析realip域名列表

• tag: realiplist
  type: domain_set
  args:
  files:
  - "/cus/mosdns/rule/realiplist.txt"

#自定义强制代理域名列表

• tag: greylist
  type: domain_set
  args:
  files:
  - "/cus/mosdns/rule/greylist.txt"

#自定义hosts域名列表

• tag: hosts
  type: hosts
  args:
  files:
  - "/cus/mosdns/rule/hosts.txt"

#转发dns请求到google dns

• tag: forward_google
  type: forward
  args:
  concurrent: 1
  upstreams:
  - addr: "https://dns.google/dns-query"
  dial_addr: "8.8.8.8"
  socks5: "127.0.0.1:7891"

#转发请求到阿里dns

• tag: forward_local
  type: forward
  args:
  concurrent: 2
  upstreams:
  - addr: "https://dns.alidns.com/dns-query"
  dial_addr: "223.5.5.5"
  enable_http3: true
  - addr: "quic://223.5.5.5"

#转发请求至sing-box/mihome dns请求fakeip

• tag: forward_fakeip
  type: forward
  args:
  concurrent: 1
  upstreams:
  - addr: "tcp://10.0.0.1:7874"
  idle_timeout: 720

#转发国内请求到内部带过期缓存的服务

• tag: forward_local_in
  type: forward
  args:
  concurrent: 1
  upstreams:
  - addr: "tcp://127.0.0.1:2222"

#国内域名 内部使用

• tag: sequence_local_in
  type: sequence
  args:
  • exec: $cache_cn
  • matches: has_resp
    exec: accept
  • exec: $forward_local

#转发国外请求到内部带过期缓存的服务

• tag: forward_google_in
  type: forward
  args:
  concurrent: 1
  upstreams:
  - addr: "tcp://127.0.0.1:3333"

#国内域名 内部使用

• tag: sequence_google_in
  type: sequence
  args:
  • exec: $cache_google
  • matches: has_resp
    exec: accept
  • exec: $forward_google

#缓存序列-国内域名

• tag: sequence_local
  type: sequence
  args:
  • exec: drop_resp #丢弃用于标记的blackhole ip
  • exec: $forward_local_in

#缓存序列-国内域名

• tag: sequence_fakeip
  type: sequence
  args:
  • exec: drop_resp #丢弃用于标记的blackhole ip
  • exec: $forward_fakeip

#缓存序列-列表外域名

• tag: sequence_google
  type: sequence
  args:
  • exec: $forward_google_in

#列表外的域名的处理逻辑

• tag: sequence_not_in_list
  type: sequence
  args:
  • exec: drop_resp #丢弃用于标记的blackhole ip
  • exec: $sequence_local #表外域名先带ecs发到国内
  • matches: #对于223没有返回V6地址且不是污染地址的，接受
    • "rcode 0"
    • "qtype 28"
    • "!resp_ip 2000::/3"
    • "!resp_ip ::1"
      exec: ttl 60000
  • matches:
    • "rcode 0"
    • "qtype 28"
    • "!resp_ip 2000::/3"
    • "!resp_ip ::1"
      exec: accept #没有ip就接受
  • matches: "!resp_ip 0.0.0.0/0 2000::/3" #rcode 235及没有IP等情况
    exec: mark 123 #标记
  • matches: "resp_ip 0.0.0.0 ::1" #有污染IP的
    exec: mark 123 #标记
  • matches: mark 123
    exec: drop_resp #丢弃结果
  • matches: mark 123
    exec: $sequence_google #google dns再查一次
  • matches: "!resp_ip 0.0.0.0/0 2000::/3"
    exec: ttl 60000 #再没有IP延长TTL
  • matches: "!resp_ip 0.0.0.0/0 2000::/3"
    exec: accept #没有ip就接受
  • matches: "resp_ip 17.0.0.0/8"
    exec: $my_realiplist
  • matches: "resp_ip 17.0.0.0/8"
    exec: accept #苹果ip就接受
  • matches: "!resp_ip $geoip_cn"
    exec: $sequence_fakeip #如果是国外IP，就请求fakeip返回，其它情况接受
  • exec: $my_fakeiplist

#生成的规则用本地dns查询

• tag: gen_is_local_dns
  type: sequence
  args:
  • matches: qname $my_realiprule
    exec: black_hole 127.0.0.1 ::1

#生成的规则请求fakeip

• tag: gen_is_fakeip
  type: sequence
  args:
  • matches: qname $my_fakeiprule
    exec: black_hole 127.0.0.2 ::2
  • matches: "!resp_ip 127.0.0.2 ::2"
    exec: black_hole 127.0.0.3 ::3

#生成的列表国内国外并发匹配，结果是black_hole的即列表外域名

• tag: gen_conc
  type: fallback
  args:
  primary: gen_is_local_dns
  secondary: gen_is_fakeip
  threshold: 0
  always_standby: true

#用本地dns查询

• tag: query_is_local_dns
  type: sequence
  args:
  • matches: qname $geosite_cn
    exec: black_hole 127.0.0.1 ::1

#fallback并发primary和secondary都没有IP返回，会抛出错误
#导致后续逻辑无法执行，在secondary中使用black_hole给假
#ip作为标记供后续判断

#国外域名列表/灰名单直接请求fakeip

• tag: query_is_fakeip
  type: sequence
  args:
  • matches: qname $geosite_no_cn
    exec: black_hole 127.0.0.2 ::2
  • matches: "!resp_ip 127.0.0.2 ::2"
    exec: black_hole 127.0.0.3 ::3

#列表内域名国内国外并发匹配，结果是black_hole的即列表外域名

• tag: conc_lookup
  type: fallback
  args:
  primary: query_is_local_dns
  secondary: query_is_fakeip
  threshold: 0
  always_standby: true

#主分流序列

• tag: sequence_main
  type: sequence
  args:
  • matches: "qtype 6 12 65"
    exec: reject 0
  • matches: qname $blocklist
    exec: reject 0
  • exec: $hosts
  • matches: has_resp
    exec: accept
  • matches: "!qtype 1 28"
    exec: $forward_google_in
  • matches: "!qtype 1 28"
    exec: accept
  • matches: qname $greylist
    exec: mark 22
  • matches: mark 22
    exec: $sequence_fakeip
  • matches: mark 22
    exec: accept
  • matches: qname $whitelist
    exec: mark 11
  • matches: mark 11
    exec: $sequence_local
  • matches: mark 11
    exec: accept
  • matches: qname $realiplist
    exec: mark 33
  • matches: mark 33
    exec: $forward_google_in
  • matches: mark 33
    exec: accept
  • exec: $gen_conc
  • matches: "resp_ip 127.0.0.3 ::3"
    exec: mark 666 #标记
  • matches: mark 666
    exec: drop_resp #丢弃结果
  • matches: mark 666
    exec: $conc_lookup
  • matches: "resp_ip 127.0.0.1 ::1"
    exec: $sequence_local
  • matches: "resp_ip 127.0.0.2 ::2"
    exec: $sequence_fakeip
  • matches: "resp_ip 198.18.0.1/16 fc00::/18"
    exec: $my_fakeiplist #生成域名规则
  • matches: "resp_ip 17.0.0.0/8"
    exec: $my_realiplist #生成域名规则
  • matches: "resp_ip 198.18.0.1/16 fc00::/18 17.0.0.0/8"
    exec: accept #fakeip ios ip就接受
  • matches:
    • "!qtype 1" #非A的只要不是黑洞IP，有没有IP都接受
    • "!resp_ip 0.0.0.0/0 2000::/3"
    • "!resp_ip 127.0.0.1 ::1 127.0.0.2 ::2 127.0.0.3 ::3"
      exec: ttl 60000 #非A没有IP，延长TTL
  • matches:
    • "!qtype 1" #非A的有realip的情况
    • "resp_ip 0.0.0.0/0 2000::/3"
    • "!resp_ip 127.0.0.1 ::1 127.0.0.2 ::2 127.0.0.3 ::3"
      exec: $my_realiplist #生成域名规则
  • matches:
    • "!qtype 1" #非A的只要不是黑洞IP，有没有IP都接受
    • "!resp_ip 127.0.0.1 ::1 127.0.0.2 ::2 127.0.0.3 ::3"
      exec: accept
  • matches:
    • "qtype 1" #A的不是黑洞IP，有正经IP才接受
    • "resp_ip 0.0.0.0/0 2000::/3"
    • "!resp_ip 127.0.0.1 ::1 127.0.0.2 ::2 127.0.0.3 ::3"
      exec: $my_realiplist #生成域名规则
  • matches:
    • "qtype 1" #A的不是黑洞IP，有正经IP才接受
    • "resp_ip 0.0.0.0/0 2000::/3"
    • "!resp_ip 127.0.0.1 ::1 127.0.0.2 ::2 127.0.0.3 ::3"
      exec: accept
  • exec: $sequence_not_in_list #其它走表外逻辑

#专门用于解析域名节点，默认使用8888解析，5毫秒不通用换223解析

• tag: sbnodefallback
  type: fallback
  args:
  primary: sequence_google
  secondary: sequence_local
  threshold: 5
  always_standby: false

• tag: sequence_sbnode
  type: sequence
  args:

  • exec: $cache_node
  • matches: has_resp
    exec: accept
  • exec: sleep 1000
  • exec: $sbnodefallback
    ####################对外服务端口定义部分############
    #解析节点域名的服务器

• tag: sbnode_udp
  type: udp_server
  args:
  entry: sequence_sbnode
  listen: ":7777"

• tag: sbnode_tcp
  type: tcp_server
  args:
  entry: sequence_sbnode
  listen: ":7777"

#sing-box使用的服务器

• tag: sb_udp
  type: udp_server
  args:
  entry: sequence_local
  listen: ":8888"

• tag: sb_tcp
  type: tcp_server
  args:
  entry: sequence_local
  listen: ":8888"

#国内

• tag: udp_local
  type: udp_server
  args:
  entry: sequence_local_in
  listen: ":2222"

• tag: tcp_local
  type: tcp_server
  args:
  entry: sequence_local_in
  listen: ":2222"

#国外

• tag: udp_google
  type: udp_server
  args:
  entry: sequence_google_in
  listen: ":3333"

• tag: tcp_google
  type: tcp_server
  args:
  entry: sequence_google_in
  listen: ":3333"

#主分流服务器

• tag: udp_main
  type: udp_server
  args:
  entry: sequence_main
  listen: ":5454"

• tag: tcp_main
  type: tcp_server
  args:
  entry: sequence_main
  listen: ":5454"
  idle_timeout: 720

[rzwt]

看上面mosdns以启动只有fakeip返回不了

[yyysuo]

看上面mosdns以启动只有fakeip返回不了

你的sing-box跑起来了吗，开了这个7874端口的入站了吗，直接nslookup www.youtube.com 10.0.0.1:7874 看看是否返回fakeip，如果sing-box都无法返回，就是sing-box的问题，mosdns只是转发。

[airgiver]

我通过ros把fakeip段、电报ip段、奈飞ip段、8888、1111设置静态路由，指向旁路由，其他没什么问题，但是pt的ip变成了机场的ip

[yyysuo]

我通过ros把fakeip段、电报ip段、奈飞ip段、8888、1111设置静态路由，指向旁路由，其他没什么问题，但是pt的ip变成了机场的ip

pt的域名就是国外ip，自动的话就是会发fakeip代理了，需要手动添加到whitelist.txt

domain:btschool.club
domain:m-team.io
domain:m-team.cc
domain:soulvoice.club
domain:hddolby.com
domain:pthome.net
domain:hdatmos.club
domain:ourbits.club
domain:hdhome.org
domain:pttime.org
domain:audiences.me
domain:ptsbao.club
domain:discfan.net
domain:chdbits.co
domain:open.cd
domain:hdsky.me
domain:hdchina.org
domain:beitai.pt
domain:springsunday.net
domain:totheglory.im
domain:keepfrds.com
domain:et8.org
domain:pterclub.com
domain:nicept.net
domain:skyey2.com
domain:wintersakura.net
domain:hhanclub.top
domain:piggo.me
domain:icc2022.com
domain:hd4fans.org
domain:iptorrents.com
domain:agsvpt.com