RageBubble

@cnlaok999 telegram 上的 misakaf

@superht #79

那张图想表达的应该是 fakeip 模式下，两种二选一的逻辑，不知道这样理解对不对：
"fakeip-direct 未命中"是指未命中 fakeip 缓存、且规则为直连的域名 。
"fakeIP 未命中,代理域名"是指未命中 fakeip 缓存、且规则为代理的域名。

clash verge rev 未来会移除 fallback-filter 的 geosite ，建议直接使用 nameserver-policy 中的 geosite, nameserver-policy 优先于 nameserver/fallback 查询

@isukkaw 我在自己的电脑上测试了一下：

fakeip 似乎只会在 tun 模式开启后才使用

tun 规则模式下：
如果最后是代理连接，clash 中的 fallback 查询 dns （以太网接口），程序用 fakeip 发起 tcp 连接（ tun 接口），使用代理服务器发起 tcp 连接（以太网接口）。

如果是直连，clash 中的 nameserver 查询 dns （以太网接口），程序用 fakeip 发起 tcp 连接（ tun 接口），本机对真实 ip 发起的 tcp 请求（以太网接口）。

代理软件 clash 在 fakeip 模式下还是会进行 DNS 解析，这点和你文章中说的有些不同

系统代理下：
程序会直接通过 http 代理与 clash 建立 tcp 连接，然后 clash 去处理域名解析（程序发送 client hello 后到服务器返回 server hello 之间有明显的时间间隔，就是用来处理域名解析的时间）

@xwhxbg #62 以浏览器举例，系统代理下，浏览器发出域名请求，只需要把域名封装到 http 或者 socks5 代理中交给 clash 处理，和 udp 什么的没关系。

@RageBubble #50 泄露是因为没有在 clash verge rev 上的 tun 设置中开启“严格路由”，导致 windows 使用了智能多宿主名称解析，让系统 dns 也去解析域名。要避免这一点，一个是开启“严格路由”，另一个就是手动关闭 windows 上的智能多宿主名称解析服务。直接去修改系统 dns 也是一种办法，但没有前两种方法更直接。

@superht 那张图中的 fakeip 未命中又该怎么理解呢？

@BadFox 这是 mihomo 官方 wiki 中的图片，不是我画的

@isukkaw 我刚好有个问题想请教一下您。在 tun 模式下，wireshark 捕获 tun 网卡可以直接看到发起的 dns 请求与返回的 fakeip （ 198.18.0.1/16 ），但是在系统代理下，为什么我在 loopback traffic capture 接口上却看不到发起的 dns 请求或者任何返回的 fakeip 呢，是因为 clash 的 fakeip 只会在 tun 模式下生效吗还是因为某种原因不经过 loopback 接口？