本教程仅供学习。
关于Clash的配置优化建议,主要围绕“TUN模式”和“代理模式的选择”两个方面展开。
一、开启 TUN 模式,同时关闭系统代理模式
TUN模式是网络层劫持,是底层强制接管所有流量。
流量路径:App → 虚拟网卡(TUN)→ Clash → 节点
系统代理是应用层代理,只对遵守系统代理设置的软件生效。
流量路径:App → 系统代理 → Clash → 节点
很多程序(国产软件、UDP应用、系统服务)会直接忽略这个系统代理,DNS 泄露风险高,IPv6 更容易泄露。
如果同时开启的系统代理,可能出现很多问题
- 流量走两次代理导致延迟升高,Claude这种容易出现520错误
- 回环 / 双重 NAT 导致某些网站打不开
- 协议不兼容导致一些软件无法联网
- 代理链嵌套会偶发 DNS 异常
- 除了问题难定位,排查困难
二、代理模式的规则与全局
规则模式
优点:
- 本地区网站直连,速度快
- 非本地区网站走代理,体验好
- 省流量
- 日常使用最稳定
缺点:
- 依赖规则质量
- 新域名可能无法命中
- 配置复杂
全局模式
优点:
- 不依赖规则
- 行为可预测
- 排错方便
缺点:
- 所有站点都走代理,慢!
- 流量消耗大
- 节点压力高
经验总结:
规则模式 ≠ 更容易泄露
只要你满足以下条件:
- 开启TUN模式
- DNS 使用 fake-ip
- 禁用 IPv6
- 不使用 system DNS
规则模式和全局模式在防泄露能力上是等价的
三、配置 DNS 覆写
可以做两份配置,一份是日常使用兼顾性能和速度的 DNS 配置,另一份是使用Claude的纯净版 DNS 配置。如果按照1,2步骤设置后,在日常版本下使用Claude有问题,就可以改用到纯净版并启用全局模式。
配置详解
- 启动 DNS:必须开启才能让 DNS 走Clash而不是系统 DNS
- DNS 监听地址:默认即可。Clash 对外监听的 DNS 本机端口地址,若未监听系统会继续使用 ISP DNS。
- 增强模式:选择 fake–ip,能提高响应速度并减少 DNS 查询泄露
- Fake IP 范围:默认即可
- Fake IP 过滤模式:blacklist
- IPv6:false。属于高风险泄露项,除非对 IPv6 做了完整代理与劫持才可开启
- 优先使用 HTTP/3:false。对 DNS 泄露影响小,主要与性能/兼容有关
- 遵循路由规则:false
- 使用 Hosts & 使用系统 Hosts:false。避免本地 Hosts 将查询绕开 Clash
- 直连域名服务器遵循策略:false。通常要通过可信渠道解析,避免被污染
- 默认域名服务器:配置为可信的公共 IPv4 DNS,如果包含 system 或本地 ISP IP 就会有泄露风险。避免使用system。
一纯净版:为了绝对安全要改成8.8.8.8, 1.1.1.1。
- 域名服务器:优先使用加密上游(DoH / DoT),能防止中间人劫持本地 DNS 查询。
一纯净版:为了安全全部改成加密地址(https://8.8.8.8/dns-query, tls://1.1.1.1:853, tls://dns.google:853)。
- 回退服务器:当域名服务查询失败或返回不可用结果时的备用上游。若 fallback 指向本地/ISP DNS,则会造成查询走本地,导致泄露。
- 代理节点 DNS:指定解析代理节点域名时使用的 DNS,要通过可信渠道解析,避免被污染。将其指向可信 DoT/DoH 可降低被动持概率。
- 直连域名服务器:专门为走 DIRECT 策略时使用的上游 DNS。若保留直连 DNS 且其中包含本地 ISP,当域名按规则被设为 DIRECT 时,相关 DNS 会直接走 ISP,造成泄露。
– – 纯净版:禁止直连 DNS,尤其是全局模式下不应该有“直连”流量,清空可以保证所有解析都在受控范围内。
- Fake IP 过滤:控制哪些查询会触发 fallback
– – 纯净版:仅保留必要的两项 MS 和 NCSI 检测相关即可。*.msftnc-si.com’、’。目的是减少变量,让域名尽量走 fake-ip,牺牲些兼容性换取最小的泄露概率。
- 域名服务器策略、GeoIP 过滤、GeoIP 代码、回退 IP CIDR:作为性能 / 兼容项,影响较小,使用配置默认即可。
– – 纯净版:为了一致性和绝对可控禁止 fallback行为,要将GeoIP 过滤、GeoIP 代码禁用、清空。
- 回退域名、Hosts:作为性能 / 兼容项,影响较小,使用配置默认即可。
可以点击 DNS 覆写中的高级按钮,替换内容即可
总结、建议
日常版 + 规则模式:兼顾速度和兼容性,理论上存在一定的 DNS 泄露风险。但在TUN模式的加持下基本不会出问题。至少我在使用Claude中还没出现问题。
纯净版 + 全局模式:安全优先,适用于需要绝对安全 / 隔离的场景,比如敏感非本地服务、安全审计等,但是会导致本地服务速度下降或部分本地服务失效。
DNS 配置不建议修改订阅服务的原始文件,修改 DNS 覆写内容就可以完全覆盖 DNS 配置部分,这样更清晰便捷,避免误删、误改。
记得修改前后都要检测 IP 和 DNS 泄露。
日常版:
dns:
enable: true
listen: ':53'
enhanced-mode: 'fake-ip'
fake-ip-range: '198.18.0.1/16'
fake-ip-filter-mode: 'blacklist'
prefer-h3: false
respect-rules: false
use-hosts: false
use-system-hosts: false
ipv6: false
fake-ip-filter:
- '*.lan'
- '*.local'
- '*.arpa'
- 'time.*.com'
- 'ntp.*.com'
- '+.market.xiaomi.com'
- 'localhost.ptlogin2.qq.com'
- '*.msftncsi.com'
- 'www.msftconnecttest.com'
default-nameserver:
- '223.5.5.5'
- '119.29.29.29'
nameserver:
- 'https://doh.pub/dns-query'
- 'https://dns.alidns.com/dns-query'
direct-nameserver-follow-policy: false
fallback-filter:
geoip: true
geoip-code: 'CN'
ipcidr:
- '240.0.0.0/4'
- '0.0.0.0/32'
domain:
- '+.google.com'
- '+.facebook.com'
- '+.youtube.com'
- '+.github.com'
fallback:
- 'https://8.8.8.8/dns-query'
- 'tls://1.1.1.1:853'
- 'tls://dns.google:853'
proxy-server-nameserver:
- 'tls://1.1.1.1:853'
direct-nameserver:
- '223.5.5.5'
- '119.29.29.29'纯净版:
dns:
enable: true
listen: ':53'
enhanced-mode: 'fake-ip'
fake-ip-range: '198.18.0.1/16'
# 关键:停用所有非必要功能,简化配置,减少变量
fake-ip-filter-mode: 'blacklist'
prefer-h3: false
respect-rules: false
use-hosts: false
use-system-hosts: false
ipv6: false
# 精简但必要的 fake-ip-filter,仅保留防止系统误判网络的条目
fake-ip-filter:
- '*.msftncsi.com'
- 'www.msftconnecttest.com'
# 默认DNS解析器,仅用于解析下面nameserver/fallback的域名,使用全球通用DNS
default-nameserver:
- '8.8.8.8'
- '1.1.1.1'
# 核心:所有常规查询均使用可信加密DNS
nameserver:
- 'https://8.8.8.8/dns-query' # 谷歌 DNS-over-HTTPS
- 'tls://1.1.1.1:853' # Cloudflare DNS-over-TLS
- 'tls://dns.google:853' # 谷歌 DNS-over-TLS (备用)
# 关键:必须清空 fallback 和 fallback-filter
# 在全局模式下,所有查询无需再分流
fallback: []
fallback-filter: {}
# 代理节点域名也使用纯净DNS解析,防止订阅链接被污染
proxy-server-nameserver:
- 'tls://1.1.1.1:853'
# 关键:清空直连DNS,因为全局模式下不应有“直连”流量
direct-nameserver: []转载作品,原作者:琢么琢么,文章来源:https://mp.weixin.qq.com/s/Xk4he-9ODXnwDXtetqm3VQ
微信赞赏 
支付宝赞赏 
