DNS加密、认证与隐私保护

🤖

AI总结 DNS服务的具体操作指南。该文章探讨了DNS安全协议DoH（DNS over HTTPS）、DoT（DNS over TLS）和DNSSEC，分析了它们在保护网络通信安全方面的原理和特点。文章推荐了国内外可靠的DNS服务器，如阿里DNS、Cloudflare DNS等，并提供了在浏览器和Android系统中配置安全DNS服务的具体操作指南。此外，文章还介绍了Clash Verge和V2RayN的配置，以增强DNS隐私保护和绕过网络限制。

English Version

The article provides a practical guide to DNS services, exploring DNS security protocols such as DoH (DNS over HTTPS), DoT (DNS over TLS), and DNSSEC, and analyzing their principles and features in safeguarding network communication security. It recommends reliable DNS servers both domestically and internationally, such as AliDNS and Cloudflare DNS, and offers step-by-step instructions for configuring secure DNS services in browsers and Android systems. Additionally, the article covers configurations for Clash Verge and V2RayN to enhance DNS privacy protection and bypass network restrictions.

一，DNS安全协议

1，概述

DoH和DoT能够加密DNS查询流量，使运营商无法直接查看或修改DNS查询内容。在理论上可以防止运营商的DNS劫持和篡改。

DNSSEC是一套用于确保DNS数据真实性和完整性的安全扩展协议。它通过添加数字签名来验证DNS记录的来源，确保数据在传输过程中未被篡改。

但由于GFW采用了多种DNS审查和过滤机制，包括DNS注入和IP地址封锁，即使使用DoH/DoT和DNSSEC，GFW仍可能通过封锁DoT的853端口、注入虚假的DNS响应等方式进行干扰。

2，DoT和DoH

（1）DNS over TLS (DoT)

①工作原理：

使用TLS协议加密DNS查询

使用专门的853端口

直接在TLS层面加密DNS通信

②主要特点：

使用独立端口,便于网络管理

Android系统默认支持

更容易被网络管理员识别和管理

（2）DNS over HTTPS (DoH)

①工作原理：

通过HTTPS协议加密DNS查询

使用443端口(标准HTTPS端口)

DNS查询被包装在HTTPS流量中

②主要特点：

提供更好的隐私保护

可以绕过网络限制，防止DNS欺骗和缓存污染

隐藏在普通HTTPS流量中,更难被检测和封锁

3，DNSSEC

（1）工作原理：

使用公钥加密技术对DNS数据进行签名

建立信任链，从根区开始验证

通过RRSIG记录存储数字签名

使用DNSKEY记录存储公钥

（2）特点：

提供DNS数据源身份认证，确保数据完整性

提供认证式否定应答

不提供数据加密和可用性保护

（3）应用：

防止DNS缓存投毒和欺骗攻击

验证DNS记录的真实性，保证解析安全

（4）与DoH/DoT的区别

特性	DNSSEC	DoH/DoT
保护范围	解析器到权威服务器	客户端到解析器
安全重点	数据真实性	传输加密
实现方式	数字签名	TLS加密
部署难度	较高	较低

二，DoT和DoH服务商推荐

1，国内直连服务

服务商	IPv4	DoT地址	DoH地址	备注
阿里DNS	223.5.5.5 223.6.6.6	dns.alidns.com 223.5.5.5 223.6.6.6	https://dns.alidns.com/dns-query https://223.5.5.5/dns-query https://223.6.6.6/dns-query	阿里将从2024年9月30日起对免费版进行限速（单个IP限20QPS）
DNSPod	119.29.29.29 119.28.28.28	dot.pub	https://doh.pub/dns-query https://1.12.12.12/dns-query https://120.53.53.53/dns-query	腾讯云出品
360安全DNS	101.226.4.6 218.30.118.6 123.125.81.6 140.207.198.6	dot.360.cn	https://doh.360.cn	前两个IPv4针对中国电信/铁通/移动后两个IPv4针对中国联通
OneDNS	117.50.10.10 52.80.52.52	dot.onedns.net dot-pure.onedns.net	https://doh.onedns.net/dns-query http://doh-pure.onedns.net/dns-query	OneDNS互联网安全接入服务
114DNS	114.114.114.114 114.114.115.115	ㅤ	ㅤ	114dns

2，私人部署DNS

（1）特点

优点：功能更丰富，提供例如去广告等自定义服务

缺点：延迟可能较高，且存在服务器不稳定的问题

有些会提供付费服务，请慎重考虑

（2）部分网址

名称	官网
18bit DNS	https://www.18bit.cn/index.html
果冻域名解析	https://dns.66a.net/
~~XLXBJ DNS~~	https://www.xlxbk.cn/xlxbjdns/
~~冷莫 DNS~~	https://dns-cdn.trli.club/

（3）自建DNS

如果拥有个人服务器，可考虑自行部署AdGuardHome

项目地址：

AdGuardHome

AdguardTeam • Updated Nov 14, 2025

CF-Workers-DoH

cmliu • Updated Nov 14, 2025

3，国际直连服务

服务商	IPv4	DoT地址	DoH地址	备注
Google DNS	8.8.8.8 8.8.4.4	dns.google	https://dns.google/dns-query https://dns64.dns.google/dns-query	第二个DoH只针对IPv6
Cloudflare DNS	1.1.1.1 1.0.0.1	dns.cloudflare.com one.one.one.one	https://cloudflare-dns.com/dns-query https://dns.cloudflare.com/dns-query https://1.1.1.1/dns-query https://1.0.0.1/dns-query	1.1.1.1
Quad9 DNS	9.9.9.9 149.112.112.112 149.112.112.9	dns.quad9.net dns9.quad9.net	https://dns.quad9.net/dns-query https://dns9.quad9.net/dns-query	IBM 发起的 Quad9 提供的公共免费 DNS 服务
DNS.SB	185.222.222.222 45.11.45.11	dot.sb dns.sb	https://doh.dns.sb/dns-query https://doh.sb/dns-query https://dns.sb/dns-query	公共 DNS 服务商
AdGuard DNS	94.140.14.14 94.140.15.15	dns.adguard-dns.com	https://dns.adguard-dns.com/dns-query	AdGuard DNS

4，数据主要来源

详细数据请参考：DNS 服务器大全国内/国外公共DNS服务器地址(Ipv4/Ipv6)大全

加密DNS服务大全 ECH检测工具 DNS over HTTPS

三，DoT和DoH应用

1，在浏览器中应用

高版本的Edge和Chrome浏览器已经默认启用下述功能，无需重复设置。

Edge： edge://settings/?search=dns

Chrome：chrome://settings/security?search=dns

（1）在Edge浏览器上使用

打开Edge浏览器并输入edge://flags进入浏览器的高级设置页面。

在搜索栏中输入Secure DNS Lookup，启用此选项并重启Edge浏览器。在地址栏中键入“edge://settings/security”并选择使用Secure DNS服务器解析选项。

在搜索栏中输入“DNS over HTTPS”，选择Disabled，并重启Edge浏览器,在地址栏中输入edge://settings/security并选择“Secure DNS服务器解析选项”。

（2）在Chrome浏览器上使用DoH

打开Chrome浏览器并依次输入chrome://flags/#dns-over-https进入浏览器的高级设置页面。

在DNS over HTTPS和DNS over TLS下拉菜单中选择Enabled并重启Chrome浏览器。

在地址栏中键入chrome://settings/security并选择使用Use secure DNS和Use secure DNS选项。

（3）出现`您的浏览器由所属组织管理`情况

在Windows系统下（以Chrome为例）

以管理员权限运行 cmd

输入以下命令：

shell


reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome" /f
reg delete "HKEY_CURRENT_USER\Software\Policies\Google\Chrome" /f

可通过chrome://policy 查看显示的企业策略列表

2，在Andorid中应用

在手机设置中搜索DNS

点击私人DNS，并选择指定DNS服务器

将上述DoT地址填入DNS服务器地址中

3，在iPhone中应用

详情参考各厂商设置

四，推荐的ClashVerge与ClashMeta配置

参考来源：来源1 来源2 来源3

1，DNS防止泄露

在Clash Verge中的全局扩展配置文件中设置（右键编辑文件）：

全局扩展配置

javascript


# Profile Enhancement Merge Template for Clash Verge
proxy-groups:
  - name: 唯快不破
    include-all: true
    type: select
    proxies:
      - 自动选择
    icon: https://github.com/clash-verge-rev/clash-verge-rev/raw/main/src-tauri/icons/icon.png

  - name: 自动选择
    type: url-test
    include-all: true
    url: http://www.gstatic.com/generate_204
    interval: 300
    icon: https://fastly.jsdelivr.net/gh/clash-verge-rev/clash-verge-rev.github.io@main/docs/assets/icons/adjust.svg

  - name: 国外网站
    include-all: true
    type: select
    proxies:
      - 唯快不破
      - Direct
      - 自动选择
    icon: https://raw.githubusercontent.com/Koolson/Qure/master/IconSet/Color/Global.png

  - name: 国际媒体
    include-all: true
    type: select
    proxies:
      - 唯快不破
      - Direct
      - 自动选择
    icon: https://raw.githubusercontent.com/Koolson/Qure/master/IconSet/Color/YouTube.png

  - name: 苹果服务
    include-all: true
    type: select
    proxies:
      - 唯快不破
      - Direct
      - 自动选择
    icon: https://raw.githubusercontent.com/Koolson/Qure/master/IconSet/Color/Apple_1.png

  - name: 微软服务
    include-all: true
    type: select
    proxies:
      - 唯快不破
      - Direct
      - 自动选择
    icon: https://raw.githubusercontent.com/Koolson/Qure/master/IconSet/Color/Microsoft.png

  - name: 谷歌服务
    include-all: true
    type: select
    proxies:
      - 唯快不破
      - Direct
      - 自动选择
    icon: https://raw.githubusercontent.com/Koolson/Qure/master/IconSet/Color/Google_Search.png

  - name: 电报消息
    include-all: true
    type: select
    proxies:
      - 唯快不破
      - Direct
      - 自动选择
    icon: https://raw.githubusercontent.com/Koolson/Qure/master/IconSet/Color/Telegram.png

  - name: 推特消息
    include-all: true
    type: select
    proxies:
      - 唯快不破
      - Direct
      - 自动选择
    icon: https://raw.githubusercontent.com/Koolson/Qure/master/IconSet/Color/Twitter.png

  - name: AI
    include-all: true
    type: select
    proxies:
      - 唯快不破
      - Direct
      - 自动选择
    icon: https://raw.githubusercontent.com/Orz-3/mini/master/Color/OpenAI.png

  - name: 游戏平台
    include-all: true
    type: select
    proxies:
      - 唯快不破
      - Direct
      - 自动选择
    icon: https://raw.githubusercontent.com/Koolson/Qure/master/IconSet/Color/Game.png

  - name: Emby
    include-all: true
    type: select
    proxies:
      - 唯快不破
      - Direct
      - 自动选择
    icon: https://raw.githubusercontent.com/Koolson/Qure/master/IconSet/Color/Emby.png

  - name: 广告拦截
    include-all: true
    type: select
    proxies:
      - REJECT
      - Direct
      - 自动选择
    icon: https://raw.githubusercontent.com/Koolson/Qure/master/IconSet/Color/Advertising.png

  - name: 兜底分流
    include-all: true
    type: select
    proxies:
      - 唯快不破
      - Direct
      - 自动选择
    icon: https://raw.githubusercontent.com/Koolson/Qure/master/IconSet/Color/Final.png

  - name: Direct
    include-all: true
    type: select
    proxies:
      - DIRECT

rule-providers:
  # AI 类
  ai:
    type: http
    behavior: classical
    format: yaml
    path: ./rules/ai.yaml
    url: "https://fastly.jsdelivr.net/gh/MadisonWirtanen/WARP-Clash-with-ZJU-Rules@main/ai.yaml"
    interval: 86400
    
  Gemini: 
    type: http
    behavior: classical
    format: yaml
    path: ./rules/Gemini.yaml
    url: "https://cdn.jsdelivr.net/gh/zuluion/Clash-Template-Config@master/Filter/Gemini.yaml"
    interval: 86400

  Claude: 
    type: http
    behavior: classical
    format: yaml
    path: ./rules/Claude.yaml
    url: "https://cdn.jsdelivr.net/gh/zuluion/Clash-Template-Config@master/Filter/Claude.yaml"
    interval: 86400

# 广告类
  AdBlock:
    type: http
    behavior: classical
    format: yaml
    path: ./rules/AdBlock.yaml
    url: "https://cdn.jsdelivr.net/gh/zuluion/Clash-Template-Config@master/Filter/AdBlock.yaml"
    interval: 86400
    
  BanAD:
    type: http
    behavior: domain
    url: "https://raw.githubusercontent.com/ACL4SSR/ACL4SSR/master/Clash/BanAD.list"
    path: ./ruleset/BanAD.yaml
    interval: 86400

  BanProgramAD:
    type: http
    behavior: domain
    url: "https://raw.githubusercontent.com/ACL4SSR/ACL4SSR/master/Clash/BanProgramAD.list"
    path: ./ruleset/BanProgramAD.yaml
    interval: 86400

  BanEasyList:
    type: http
    behavior: domain
    url: "https://raw.githubusercontent.com/ACL4SSR/ACL4SSR/master/Clash/BanEasyList.list"
    path: ./ruleset/BanEasyList.yaml
    interval: 86400

  reject:
    type: http
    behavior: domain
    url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/reject.txt"
    path: ./ruleset/reject.yaml
    interval: 86400

# 补丁类
  collection: 
    type: http
    behavior: classical
    format: yaml
    path: ./rules/collection.yaml
    url: "https://gist.githubusercontent.com/cnfree8964/0864fd1d2e88936a095fb40d74ce4993/raw/collection.yaml"

  gfw:
    type: http
    behavior: domain
    url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/gfw.txt"
    path: ./ruleset/gfw.yaml
    interval: 86400

  proxy:
    type: http
    behavior: domain
    url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/proxy.txt"
    path: ./ruleset/proxy.yaml
    interval: 86400

  tld-not-cn:
    type: http
    behavior: domain
    url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/tld-not-cn.txt"
    path: ./ruleset/tld-not-cn.yaml
    interval: 86400

  ProxyGFWlist:
    type: http
    behavior: domain
    url: "https://raw.githubusercontent.com/ACL4SSR/ACL4SSR/master/Clash/ProxyGFWlist.list"
    path: ./ruleset/BanEasyList.yaml
    interval: 86400

  ProxyClient: 
    type: http
    behavior: classical
    format: yaml
    path: ./rules/ProxyClient.yaml
    url: "https://cdn.jsdelivr.net/gh/zuluion/Clash-Template-Config@master/Filter/ProxyClient.yaml"

  ChinaDomain:
    type: http
    behavior: classical
    format: yaml
    path: ./rules/ChinaDomain.yaml
    url: "https://raw.githubusercontent.com/ACL4SSR/ACL4SSR/master/Clash/ChinaDomain.list"
    interval: 86400

  ChinaCompanyIp:
    type: http
    behavior: classical
    format: yaml
    path: ./rules/ChinaCompanyIp.yaml
    url: "https://raw.githubusercontent.com/ACL4SSR/ACL4SSR/master/Clash/ChinaCompanyIp.list"
    interval: 86400

  China: 
    type: http
    behavior: classical
    format: yaml
    path: ./rules/China.yaml
    url: "https://cdn.jsdelivr.net/gh/zuluion/Clash-Template-Config@master/Filter/China.yaml"
    interval: 86400

  cncidr:
    type: http
    behavior: ipcidr
    url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/cncidr.txt"
    path: ./ruleset/cncidr.yaml
    interval: 86400

  lancidr:
    type: http
    behavior: ipcidr
    url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/lancidr.txt"
    path: ./ruleset/lancidr.yaml
    interval: 86400

# 服务类
  telegramcidr:
    type: http
    behavior: ipcidr
    url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/telegramcidr.txt"
    path: ./ruleset/telegramcidr.yaml
    interval: 86400

  PayPal: 
    type: http
    behavior: classical
    format: yaml
    path: ./rules/PayPal.yaml
    url: "https://cdn.jsdelivr.net/gh/zuluion/Clash-Template-Config@master/Filter/PayPal.yaml"
    interval: 86400

  TikTok: 
    type: http
    behavior: classical
    format: yaml
    path: ./rules/TikTok.yaml
    url: "https://cdn.jsdelivr.net/gh/zuluion/Clash-Template-Config@master/Filter/TikTok.yaml"
    interval: 86400

  IDM: 
    type: http
    behavior: classical
    format: yaml
    path: ./rules/IDM.yaml
    url: "https://cdn.jsdelivr.net/gh/zuluion/Clash-Template-Config@master/Filter/IDM.yaml"

# 流媒体
  Amazon: 
    type: http
    behavior: classical
    format: yaml
    path: ./rules/Amazon.yaml
    url: "https://cdn.jsdelivr.net/gh/zuluion/Clash-Template-Config@master/Filter/Amazon.yaml"
    interval: 86400

  Netflix: 
    type: http
    behavior: classical
    format: yaml
    path: ./rules/Netflix.yaml
    url: "https://cdn.jsdelivr.net/gh/zuluion/Clash-Template-Config@master/Filter/Netflix.yaml"
    interval: 86400

  Spotify: 
    type: http
    behavior: classical
    format: yaml
    path: ./rules/Spotify.yaml
    url: "https://cdn.jsdelivr.net/gh/zuluion/Clash-Template-Config@master/Filter/Spotify.yaml"
    interval: 86400
    
  DisneyPlus: 
    type: http
    behavior: classical
    format: yaml
    path: ./rules/DisneyPlus.yaml
    url: "https://cdn.jsdelivr.net/gh/zuluion/Clash-Template-Config@master/Filter/DisneyPlus.yaml"
    
  Hulu: 
    type: http
    behavior: classical
    format: yaml
    path: ./rules/Hulu.yaml
    url: "https://cdn.jsdelivr.net/gh/zuluion/Clash-Template-Config@master/Filter/Hulu.yaml"

  HBO: 
    type: http
    behavior: classical
    format: yaml
    path: ./rules/HBO.yaml
    url: "https://cdn.jsdelivr.net/gh/zuluion/Clash-Template-Config@master/Filter/HBO.yaml"

# 游戏类
  Steam: 
    type: http
    behavior: classical
    format: yaml
    path: ./rules/Steam.yaml
    url: "https://cdn.jsdelivr.net/gh/zuluion/Clash-Template-Config@master/Filter/Steam.yaml"
    interval: 86400
  AD:
    type: http
    behavior: classical
    url: https://adrules.top/adrules_domainset.txt
    path: ./rule-providers/AD.list

  Apple:
    type: http
    behavior: classical
    url: https://github.com/Repcz/Tool/raw/X/Clash/Rules/Apple.list
    path: ./rule-providers/Apple.list

  Google:
    type: http
    behavior: classical
    url: https://github.com/Repcz/Tool/raw/X/Clash/Rules/Google.list
    path: ./rule-providers/Google.list

  YouTube:
    type: http
    behavior: classical
    url: https://github.com/Repcz/Tool/raw/X/Clash/Rules/YouTube.list
    path: ./rule-providers/YouTube.list

  Telegram:
    type: http
    behavior: classical
    url: https://github.com/Repcz/Tool/raw/X/Clash/Rules/Telegram.list
    path: ./rule-providers/Telegram.list

  Twitter:
    type: http
    behavior: classical
    url: https://github.com/Repcz/Tool/raw/X/Clash/Rules/Twitter.list
    path: ./rule-providers/Twitter.list

  Epic:
    type: http
    behavior: classical
    url: https://github.com/Repcz/Tool/raw/X/Clash/Rules/Epic.list
    path: ./rule-providers/Epic.list

  AI:
    type: http
    behavior: classical
    url: https://github.com/Repcz/Tool/raw/X/Clash/Rules/AI.list
    path: ./rule-providers/AI.list

  Emby:
    type: http
    behavior: classical
    url: https://github.com/Repcz/Tool/raw/X/Clash/Rules/Emby.list
    path: ./rule-providers/Emby.list


  Bahamut:
    type: http
    behavior: classical
    url: https://github.com/Repcz/Tool/raw/X/Clash/Rules/Bahamut.list
    path: ./rule-providers/Bahamut.list


  Disney:
    type: http
    behavior: classical
    url: https://github.com/Repcz/Tool/raw/X/Clash/Rules/Disney.list
    path: ./rule-providers/Disney.list

  PrimeVideo:
    type: http
    behavior: classical
    url: https://github.com/Repcz/Tool/raw/X/Clash/Rules/PrimeVideo.list
    path: ./rule-providers/PrimeVideo.list

  OneDrive:
    type: http
    behavior: classical
    url: https://github.com/Repcz/Tool/raw/X/Clash/Rules/OneDrive.list
    path: ./rule-providers/OneDrive.list

  Github:
    type: http
    behavior: classical
    url: https://github.com/Repcz/Tool/raw/X/Clash/Rules/Github.list
    path: ./rule-providers/Github.list

  Microsoft:
    type: http
    behavior: classical
    url: https://github.com/Repcz/Tool/raw/X/Clash/Rules/Microsoft.list
    path: ./rule-providers/Microsoft.list

  Lan:
    type: http
    behavior: classical
    url: https://github.com/Repcz/Tool/raw/X/Clash/Rules/Lan.list
    path: ./rule-providers/Lan.list

  ProxyGFW:
    type: http
    behavior: classical
    url: https://github.com/Repcz/Tool/raw/X/Clash/Rules/ProxyGFW.list
    path: ./rule-providers/ProxyGFW.list


profile:
  store-selected: true
dns:
  enable: true
  listen: 0.0.0.0:1053
  use-system-hosts: false
  prefer-h3: true
  ipv6: true
  cache-algorithm: arc
  fake-ip-filter-mode: blacklist
  enhanced-mode: fake-ip
  fake-ip-filter:
    - '*'
    - '+.lan'
    - '+.local'
    - '+.msftconnecttest.com'
    - '+.msftnsci.com'
    - 'localhost.ptlogin2.qq.com'
    - 'localhost.sec.qq.com'
    - 'localhost.work.weixin.qq.com'
  nameserver:
    - https://dns.alidns.com/dns-query
    - https://doh.360.cn/dns-query
    - https://doh.pub/dns-query
    - https://dns.alidns.com/dns-query#h3=true
  default-nameserver:
    - tls://1.12.12.12
    - 223.5.5.5
  proxy-server-nameserver: 
    - https://1.1.1.1/dns-query
    - https://1.0.0.1/dns-query
    - https://208.67.222.222/dns-query
    - https://208.67.220.220/dns-query
    - https://194.242.2.2/dns-query
    # - https://doh.pub/dns-query
  fallback:
    - https://1.1.1.1/dns-query#唯快不破
    - https://dns.google/dns-query#唯快不破
  fallback-filter:
    geoip: true
    geoip-code: CN
    ipcidr:
      - 240.0.0.0/4
    domain:
      - '+.google.com'
      - '+.facebook.com'
      - '+.youtube.com'
      - '+.instagram.com'
  nameserver-policy:
    '+.devdev1.cn': 'https://dns.yyds.cn/dns-query/mydns'
    '+.auok.cn': 'https://dns.yyds.cn/dns-query/mydns'
    '+.ok123.pub': 'https://dns.yyds.cn/dns-query/mydns'
    '+.devops.com': 'https://dns.yyds.cn/dns-query/mydns'
    "geosite:cn,private,apple,microsoft,onedrive":
      - https://doh.pub/dns-query
      - https://dns.alidns.com/dns-query
unified-delay: true
tcp-concurrent: true

tun:
  enable: true
  stack: mixed
  auto-route: true
  auto-redirect: true
  auto-detect-interface: true
  dns-hijack:
    - any:53
    - tcp://any:53
  device: utun0
  mtu: 1500
  strict-route: true
  gso: true
  gso-max-size: 65536
  udp-timeout: 300
  iproute2-table-index: 2022
  iproute2-rule-index: 9000
  endpoint-independent-nat: false
  route-address-set:
    - ruleset-1
  route-exclude-address-set:
    - ruleset-2
  route-address:
    - 0.0.0.0/1
    - 128.0.0.0/1
    - "::/1"
    - "8000::/1"
  route-exclude-address:
    - 192.168.0.0/16
    - fc00::/7
  include-interface:
    - eth0
  exclude-interface:
    - eth1
  include-uid:
    - 0
  include-uid-range:
    - 1000:9999
  exclude-uid:
    - 1000
  exclude-uid-range:
    - 1000:9999
  include-android-user:
    - 0
    - 10
  include-package:
    - com.android.chrome
  exclude-package:
    - com.android.captiveportallogin
rules:
  - DOMAIN-SUFFIX,googleapis.com,AI # Google chat 服务
  - DOMAIN-SUFFIX,gstatic.com,唯快不破 # Google静态资源
  - DOMAIN-SUFFIX,xn--ngstr-lra8j.com,唯快不破 # Google Play下载服务
  - DOMAIN-SUFFIX,github.io,唯快不破 #Github Pages
  - DOMAIN-SUFFIX,dadada.acaisbest.com,唯快不破
  - DOMAIN-SUFFIX,isroots.com,AI
  - DOMAIN-KEYWORD,marscode,AI
  - DOMAIN-SUFFIX,appmiu.com,Direct
  - DOMAIN,v2rayse.com,唯快不破 # V2rayse节点工具
  - DOMAIN-KEYWORD,cocopilot.org,唯快不破
  - DOMAIN-KEYWORD,linux.do,唯快不破
  - DOMAIN-KEYWORD,n256,Direct
  - DOMAIN-SUFFIX,quark.cn,Direct
  - DOMAIN-KEYWORD,alipan,Direct
  - DOMAIN-KEYWORD,learning.google.com,AI
  - RULE-SET,AD,广告拦截
  - RULE-SET,AI,AI
  - RULE-SET,Apple,苹果服务
  - RULE-SET,YouTube,谷歌服务
  - RULE-SET,Google,谷歌服务
  - RULE-SET,Telegram,电报消息
  - RULE-SET,Twitter,推特消息
  - RULE-SET,Steam,游戏平台
  - RULE-SET,Epic,游戏平台
  - RULE-SET,Emby,Emby
  - RULE-SET,Spotify,国际媒体
  - RULE-SET,Bahamut,国际媒体
  - RULE-SET,Netflix,国际媒体
  - RULE-SET,Disney,国际媒体
  - RULE-SET,PrimeVideo,国际媒体
  - RULE-SET,HBO,国际媒体
  - GEOSITE,onedrive,微软服务
  - GEOSITE,github,微软服务
  - GEOSITE,microsoft,微软服务
  - GEOSITE,gfw,国外网站
  - RULE-SET,China,DIRECT
  - GEOIP,lan,DIRECT
  - GEOIP,CN,DIRECT
  # 解锁AI
  - RULE-SET,ai,AI
  - RULE-SET,Gemini,AI
  - RULE-SET,Claude,AI
  - DOMAIN,meta.ai,AI
  - DOMAIN,claude.ai,AI
  - DOMAIN,groq.com,AI
  - DOMAIN-SUFFIX,console.anthropic.com,AI
  - DOMAIN,anthropic.com,AI
  - DOMAIN,claude.ai,AI
  - DOMAIN,console.anthropic.com,AI
  - DOMAIN,anthropic.com,AI
  - DOMAIN-SUFFIX,aistudio.google.com,AI
  - DOMAIN,browser-intake-datadoghq.com,AI
  - DOMAIN,static.cloudflareinsights.com,AI
  - DOMAIN,ai-pro.org,AI
  - DOMAIN-SUFFIX,ai.com,AI
  - DOMAIN-SUFFIX,algolia.net,AI
  - DOMAIN-SUFFIX,api.statsig.com,AI
  - DOMAIN-SUFFIX,auth0.com,AI
  - DOMAIN-SUFFIX,chatgpt.com,AI
  - DOMAIN-SUFFIX,chatgpt.livekit.cloud,AI
  - DOMAIN-SUFFIX,client-api.arkoselabs.com,AI
  - DOMAIN-SUFFIX,events.statsigapi.net,AI
  - DOMAIN-SUFFIX,featuregates.org,AI
  - DOMAIN-SUFFIX,host.livekit.cloud,AI
  - DOMAIN-SUFFIX,identrust.com,AI
  - DOMAIN-SUFFIX,intercom.io,AI
  - DOMAIN-SUFFIX,intercomcdn.com,AI
  - DOMAIN-SUFFIX,launchdarkly.com,AI
  - DOMAIN-SUFFIX,oaistatic.com,AI
  - DOMAIN-SUFFIX,oaiusercontent.com,AI
  - DOMAIN-SUFFIX,observeit.net,AI
  - DOMAIN-SUFFIX,poe.com,AI
  - DOMAIN-SUFFIX,segment.io,AI
  - DOMAIN-SUFFIX,sentry.io,AI
  - DOMAIN-SUFFIX,stripe.com,AI
  - DOMAIN-SUFFIX,turn.livekit.cloud,AI
  - DOMAIN-KEYWORD,openai,AI

# 服务类
  - RULE-SET,TikTok,国际媒体
  - RULE-SET,PayPal,唯快不破
  - RULE-SET,telegramcidr,唯快不破
  - DOMAIN-KEYWORD,oaifree,DIRECT
  - DOMAIN-SUFFIX,shared.oaifree.com,DIRECT
  

# 屏蔽广告
  - RULE-SET,AdBlock,广告拦截
  - RULE-SET,reject,广告拦截
  - RULE-SET,BanAD,广告拦截
  - RULE-SET,BanProgramAD,广告拦截
  - RULE-SET,BanEasyList,广告拦截
  
# 补丁规则
  - RULE-SET,gfw,唯快不破
  - RULE-SET,proxy,唯快不破
  - RULE-SET,tld-not-cn,唯快不破
  - RULE-SET,ProxyGFWlist,唯快不破
  - RULE-SET,ProxyClient,唯快不破
  - RULE-SET,ChinaDomain,DIRECT,no-resolve
  - RULE-SET,ChinaCompanyIp,DIRECT,no-resolve
  - RULE-SET,cncidr,DIRECT,no-resolve
  - RULE-SET,China,DIRECT,no-resolve
  - RULE-SET,lancidr,DIRECT,no-resolve
  - RULE-SET,collection,DIRECT,no-resolve

# 默认规则 
  - GEOIP,CN,DIRECT,no-resolve
  - GEOSITE,geolocation-cn,DIRECT
  - GEOSITE,geolocation-!cn,唯快不破
  - MATCH,兜底分流

在Clash Verge中的全局扩展脚本文件中设置（右键编辑文件）：

fastly.jsdelivr.net

https://fastly.jsdelivr.net/gh/dahaha-365/YaNet@main/Mihomo/global_script.js

2，添加DNS密码

在设置 → Clash设置 → 外部控制 → 修改API访问密码

3，DNS防泄露检测网址

https://ipleak.net/

https://browserleaks.com/dns

https://ipcheck.ing/#/

https://www.browserscan.net/zh/dns-leak

https://ip125.com/myip/

https://www.dnsleaktest.com/

https://whoer.net/zh/dns-leak-test

https://ip.skk.moe/

五，推荐的V2RayN与V2RayNG配置

1，DNS设置

在v2rayN的设置 → DNS设置 → V2ray DNS设置 → 点击导入默认DNS配置

在v2rayN的设置 → DNS设置 → sing-box DNS设置 → 点击导入默认DNS配置

上述配置好，出现相关规则参数后点击确定进行保存

2，路由设置

在v2rayN的设置 → 路由设置 → 高级功能 → 添加规则集

将下述别名和规则分别复制到别名 和从剪切板中导入规则

GFWlist黑名单（PAC代理模式）

这种模式只对被墙的网站使用代理，其他网站直接连接，类似于传统的PAC模式。

GFWlist黑名单（PAC代理模式）详细介绍

工作原理： v2rayN 会下载并使用一个预定义的网站列表 (GFWList)，这个列表包含了被 GFW（Great Firewall，中国国家防火墙）屏蔽的网站。当您访问网络时，v2rayN 会：

检查您要访问的网站是否在这个黑名单列表中。
如果 在列表内，则该网站的流量将通过 v2rayN 的代理服务器进行访问。
如果 不在列表内，则该网站的流量将直接连接，不经过代理服务器。

优点： 相对较好的平衡了代理速度和访问范围。只对被屏蔽的网站使用代理，国内网站访问速度不受影响。

缺点：

GFWList 的更新可能不及时，导致一些新被屏蔽的网站无法访问。
一些网站可能会使用复杂的反代理技术，仅仅通过域名匹配可能无法绕过封锁。
PAC文件的生成和更新有时会有延迟或错误。

javascript


{
  "outboundTag": "proxy",
  "domain": [
    "#GFW域名列表",
    "geosite:gfw",
    "geosite:greatfire"
  ]
},
{
  "type": "field",
  "port": "0-65535",
  "outboundTag": "direct"
}

Whitelist白名单（绕过大陆模式）

这种模式是让中国大陆的网站直连，其他网站全部走代理。

Whitelist白名单（绕过大陆模式）详细介绍

工作原理： 与黑名单模式相反，白名单模式预设所有网站都走代理，只有在白名单列表中的网站才不走代理，直接连接。这个白名单通常包含了中国大陆的常用网站域名。

优点： 可以绕过大部分的 GFW 封锁，因为大多数网站的流量都会经过代理服务器。

缺点：

访问国内网站的速度可能会受到代理服务器速度的影响。
白名单需要维护，添加新的国内网站或服务才能让它们不通过代理访问。
对服务器性能有更高的要求，因为大部分流量都通过代理服务器。

javascript


{
  "routing": {
    "rules": [
      {
        "type": "field",
        "outboundTag": "Reject",
        "domain": ["geosite:category-ads-all"]
      },
      {
        "type": "field",
        "outboundTag": "Direct",
        "domain": [
          "geosite:private",
          "geosite:apple-cn",
          "geosite:google-cn",
          "geosite:tld-cn",
          "geosite:category-games@cn"
        ]
      },
      {
        "type": "field",
        "outboundTag": "Proxy",
        "domain": ["geosite:geolocation-!cn"]
      },
      {
        "type": "field",
        "outboundTag": "Direct",
        "domain": ["geosite:cn"]
      },
      {
        "type": "field",
        "outboundTag": "Proxy",
        "network": "tcp,udp"
      }
    ]
  }
}

全局代理

所有网络连接都通过代理访问。

全局代理详细介绍

工作原理： v2rayN 会将您电脑上的 所有网络流量 都通过代理服务器进行访问，无论目标网站是什么。

优点：

可以最大程度地绕过网络审查和封锁。
配置简单，不需要维护任何列表。

缺点：

访问国内网站的速度会明显变慢，因为流量都需要绕道国外服务器。
会增加代理服务器的负担，可能导致代理速度下降，甚至被服务器提供商限制。
可能会与需要直连的网络服务产生冲突导致无法访问或报错。

javascript


{
  "routing": {
    "rules": [
      {
        "type": "field",
        "outboundTag": "proxy",
        "network": "tcp,udp"
      }
    ]
  }
}

全局直连

所有网络连接都直接访问，不使用代理。

全局直连详细介绍

工作原理： v2rayN 不会对任何网络流量进行代理，所有网站都将直接连接，相当于关闭了代理。

优点：

访问国内网站的速度最快。
不会对任何网站的访问造成影响。

缺点： 无法访问被 GFW 屏蔽的网站。

javascript


{
  "routing": {
    "rules": [
      {
        "type": "field",
        "outboundTag": "direct",
        "network": "tcp,udp"
      }
    ]
  }
}

全局阻断

阻断所有网络连接请求。

全局阻断详细介绍

工作原理：v2rayN启动后阻止所有的网络访问。电脑无法连接到互联网。

优点：

可用于临时中断所有网络连接。
可以用于某些特殊场合，防止数据泄露。

缺点： 电脑无法访问任何网站。

javascript


{
  "routing": {
    "rules": [
      {
        "type": "field",
        "outboundTag": "block",
        "network": "tcp,udp"
      }
    ]
  }
}

总结：

模式	代理范围	国内网站速度	国外网站速度	优点	缺点
GFWList 黑名单	GFWList 列表内	快	慢	平衡速度和访问范围	GFWList 更新不及时，反代理技术可能导致失效
Whitelist 白名单	除白名单外的所有	慢	慢	可以绕过大部分封锁	国内网站访问速度受影响，需要维护白名单
全局代理	所有	慢	慢	最大程度绕过封锁，配置简单	国内网站访问速度慢，增加代理服务器负担，可能与直连网络服务冲突
全局直连	无	快	无法访问被屏蔽网站	国内网站访问速度快	无法访问被屏蔽网站
全局阻断	所有都阻断	--	--	临时中断所有网络或者防止数据泄露	电脑无法访问网络

参考设置

希望访问被屏蔽的网站，同时兼顾国内网站访问速度： GFWList 黑名单模式（PAC 代理模式）

希望尽可能访问所有网站，不介意国内网站访问速度变慢： Whitelist 白名单模式（绕过大陆模式）

需要访问一些特殊的网站，这些网站无法通过域名判断是否需要代理： 全局代理模式

不需要访问被屏蔽的网站： 全局直连模式

需要完全禁止网络访问：全局阻断模式

相关参考来源：来源1、来源2、、

3，VrayNG部分推荐设置

如果出现io read/write on closed pipe问题，一般是由于时间出现问题，将设备时间与标准时间进行对比并修改，如果不行可以取消自动同步勾选再重新测试。

部分推荐开启设置

启用流量探测：True

启用本地DNS：True

启用虚拟DNS：True

追加HTTP代理至VPN：True

启用速度显示：True

删除配置文件确认：True

一，DNS安全协议

1，概述

2，DoT和DoH

（1）DNS over TLS (DoT)

（2）DNS over HTTPS (DoH)

3，DNSSEC

（1）工作原理：

（2）特点：

（3）应用：

（4）与DoH/DoT的区别

二，DoT和DoH服务商推荐

1，国内直连服务

2，私人部署DNS

（1）特点

（2）部分网址

（3）自建DNS

3，国际直连服务

4，数据主要来源

三，DoT和DoH应用

1，在浏览器中应用

（1）在Edge浏览器上使用

（2）在Chrome浏览器上使用DoH

（3）出现您的浏览器由所属组织管理情况

shell

2，在Andorid中应用

3，在iPhone中应用

四，推荐的ClashVerge与ClashMeta配置

1，DNS防止泄露

javascript

2，添加DNS密码

3，DNS防泄露检测网址

五，推荐的V2RayN与V2RayNG配置

1，DNS设置

2，路由设置

javascript

javascript

javascript

javascript

javascript

总结：

3，VrayNG部分推荐设置

（3）出现`您的浏览器由所属组织管理`情况