[Feature] Fake IP filter绕过大陆的疑问和建议
psychosispy opened this issue · 9 comments
Verify Steps
- Tracker 我已经在 Issue Tracker 中找过我要提出的问题
- Latest 我已经使用最新 Dev 版本查看过,并不包含该功能特性或者还不完善
- Relevant 我知道 OpenClash 与 内核(Core)、控制面板(Dashboard)、在线订阅转换(Subconverter)等项目之间无直接关系,仅相互调用
- Definite 这确实是 OpenClash 应包含的特性
- Contributors 我有能力协助 OpenClash 开发或完善此功能特性
- Meaningless 我提交的是无意义的催促更新或修复请求
Describe the Feature
新版chore: use geosite in fake-ip-filter for china ip bypass使用防火墙转发和Fake IP filter绕过大陆域名,geosite:cn规则内的域名不进入内核,openclash应该是做了防火墙处理吧,面板内不显示cn域名,替代了mihomo对Fake IP filter的处理,不知道个人的理解对不对 (还是说只是调用了内核的Fake IP filter功能,未作其他处理?)
目前的实现方式只有cn域名绕过内核,但是geosite:cn规则集不可能完美,也会绕过一些ad主域名导致一些去广告失效,以及出现类似Googleapi的一些问题
可不可以为绕过大陆提供一种反向的黑名单模式,只允许匹配规则的域名进入内核,比如proxy和ad,未命中规则则全部不经过内核,不知道能不能实现
Describe Alternatives
No response
反向的黑名单模式中,如果流量不经过内核,如何判断规则是否被命中?
对于域名来说,把需要内核处理的全部写入规则中,主要也就是一些proxy和ad规则吧,不经过内核的是本来在内核中走direct的
你可以自己改filter,插件只是附加上去一个最常用的,对比以前的方式现在自定义的空间很大
防火墙还是依靠大陆ip名单过滤,filter只是负责处理dns的问题
防火墙还是依靠大陆ip名单过滤
也就是说防火墙只是通过china_ip_route.ipset判断是否进入内核,与域名无关,也无法通过域名判断是否进入内核,是这样的吗
你可以自己改filter,插件只是附加上去一个最常用的,对比以前的方式现在自定义的空间很大
附加的那两条geosite:cn基本上就把自定义的范围写死了,导致无法在使用fake-ip-filter-mode: whitelist时自定义规则,建议开启绕过ip时不自动附加fake ip filter规则
你理解的有问题,绕过内核和fake-ip-filter是两回事,fake-ip-filter 的geosite是新meta内核的功能,可以用geosite和rule-set来批量定义那些域名返回真实IP,至于这些返回后的结果是不是在绕过内核那个list里是看另外一个表的,绕过内核是看的大陆白名单。
我之前的理解是有问题,应该是解析为realip且ip命中大陆ip就会绕过内核,但是目前默认会加上2条geosite:cn规则,给写死了,没有办法自定义fake IP filter,就无法让那些域名返回realip,既然走了fake IP,也就无法绕过内核
你理解的有问题,绕过内核和fake-ip-filter是两回事,fake-ip-filter 的geosite是新meta内核的功能,可以用geosite和rule-set来批量定义那些域名返回真实IP,至于这些返回后的结果是不是在绕过内核那个list里是看另外一个表的,绕过内核是看的大陆白名单。
我之前的理解是有问题,应该是解析为realip且ip命中大陆ip就会绕过内核,但是目前默认会加上2条geosite:cn规则,给写死了,没有办法自定义fake IP filter,就无法让那些域名返回realip,既然走了fake IP,也就无法绕过内核
你理解的有问题,绕过内核和fake-ip-filter是两回事,fake-ip-filter 的geosite是新meta内核的功能,可以用geosite和rule-set来批量定义那些域名返回真实IP,至于这些返回后的结果是不是在绕过内核那个list里是看另外一个表的,绕过内核是看的大陆白名单。
那两条geosite又不是默认的,你注释掉就可以了,人家只是给了一个示例。
新版已增加判断