@povsister 我没说清楚，列表外的域名，就不用写 rule 了，直接国外就行，这样不会有过多的 rule ，我比较的是带 ecs 通过代理走 8888 的速度，和列表外的域名（小众）直接走国内 dns 的情况，两者速度，8888 反而有优势（几十 ms ），国内 dns 反而有时候会上千 ms 。

@zhu327808 本质上都是按 fakeip 分流了，不管是本机用 ipt 、nft ，还是静态路由到旁路，其实没有太大的区别，都是先按域名分成 fakeip 和 realip ，体验的区别主要是分流的精细度，你的方案对于列表外的域名是怎么分的？可以看看我的
方案

https://v2ex.com/t/1057357

再分享一个 nft 的规则，我简化了一下，没有写奈飞 ip 电报 ip 的国外公共 dns ip ，可以自己按需添加。

table inet singbox {
set local_ipv4 {
type ipv4_addr
flags interval
elements = {
28.0.0.0/8
}
}

set local_ipv6 {
type ipv6_addr
flags interval
elements = {
fc00::/18
}
}

set router_ipv4 {
type ipv4_addr
flags interval
elements = {
28.0.0.0/8
}
}

set router_ipv6 {
type ipv6_addr
flags interval
elements = {
fc00::/18
}
}

chain singbox-tproxy {
meta l4proto udp meta mark set 1 tproxy to :7895 accept
}

chain singbox-mark {
meta mark set 1
}

chain mangle-prerouting {
type filter hook prerouting priority mangle; policy accept;
ip daddr @local_ipv4 meta l4proto udp ct direction original goto singbox-tproxy
ip6 daddr @local_ipv6 meta l4proto udp ct direction original goto singbox-tproxy
}

chain mangle-output {
type route hook output priority mangle; policy accept;
ip daddr @router_ipv4 meta l4proto udp ct direction original goto singbox-mark
ip6 daddr @router_ipv6 meta l4proto udp ct direction original goto singbox-mark
}

chain nat-prerouting {
type nat hook prerouting priority dstnat; policy accept;
ip daddr @local_ipv4 meta l4proto tcp redirect to :7899
ip6 daddr @local_ipv6 meta l4proto tcp redirect to :7899
}

chain nat-output {
type nat hook output priority filter; policy accept;
ip daddr @router_ipv4 meta l4proto tcp redirect to :7899
ip6 daddr @router_ipv6 meta l4proto tcp redirect to :7899
}
}

@povsister 最近也尝试了用国内 dns 去解析列表外的域名，发现还不如好的代理呢，小众的域名，国内 dns 查起来也很慢的。

粘个 mosdns 的 fakeip 分流法配置
log:
level: error
file: "/tmp/mosdns.log"

api:
http: "0.0.0.0:9091"

include: []

plugins:
- tag: hosts
type: hosts
args:
files:
- "/etc/mosdns/rule/hosts.txt"

- tag: geosite_cn
type: domain_set
args:
files:
- "/etc/mosdns/unpack/geosite_cn.txt"

- tag: geoip_cn
type: ip_set
args:
files:
- "/etc/mosdns/unpack/geoip_cn.txt"

- tag: geosite_no_cn
type: domain_set
args:
files:
- "/etc/mosdns/unpack/geosite_geolocation-!cn.txt"

- tag: whitelist
type: domain_set
args:
files:
- "/etc/mosdns/rule/whitelist.txt"

- tag: blocklist
type: domain_set
args:
files:
- "/etc/mosdns/rule/blocklist.txt"

- tag: greylist
type: domain_set
args:
files:
- "/etc/mosdns/rule/greylist.txt"

- tag: forward_cf
type: forward
args:
concurrent: 1
upstreams:
- addr: "tls://8.8.8.8:853"
idle_timeout: 3600000

- tag: forward_local
type: forward
args:
concurrent: 1
upstreams:
- addr: "tls://223.5.5.5:853"
idle_timeout: 3600000

- tag: forward_remote
type: forward
args:
concurrent: 1
upstreams:
- addr: "tcp://127.0.0.1:7874" #sing-box fakeip server

- tag: main_sequence
type: sequence
args:
- matches: "!qtype 1 16 28 33"
exec: reject 0
- exec: $hosts
- matches: has_resp
exec: ttl 600000
- matches: has_resp
exec: accept
- matches: qname $blocklist
exec: reject 0
- matches: qname $whitelist
exec: $forward_local
- matches: has_resp
exec: accept
- matches: qname $greylist
exec: $forward_remote
- matches: has_resp
exec: accept
- matches: qname $geosite_cn
exec: $forward_local
- matches: has_resp
exec: accept
- matches: "qtype 16 33"
exec: $forward_cf
- matches: has_resp
exec: accept
- matches: qname $geosite_no_cn
exec: $forward_remote
- matches: has_resp
exec: accept
- exec: ecs 你所在城市的 IPV4 地址
- exec: $forward_cf
- matches: "!resp_ip 0.0.0.0/0 2000::/3"
exec: accept
- matches: "!resp_ip $geoip_cn"
exec: $forward_remote

- tag: udp_server
type: udp_server
args:
entry: main_sequence
listen: ":5454"

- tag: tcp_server
type: tcp_server
args:
entry: main_sequence
listen: ":5454"

fake 网关现在已经很流行了，opn 、op 、爱快、ros 都可以实现，op 最简单。

@ranaanna 感谢，有可能是机场的问题？毕竟很多人共用一个出口 IP 。

@simplove #16 smartdns 的分流跟 Adguard Home 也没多大分别吧，还是 mosdns 好用，主要是 dns 和科学得结合起来，要不然所有的机器都把网关搞成 passwall 那台机器吗，那也太不优雅了。

骗人，离得近就大了？大的蜘蛛长得也不是这样的啊，又不是没抓过。

@yyysuo dns 分流 Adguard Home 不太好用，可以用 mosdns ，国内 real ip ，国外 fakeip ，不在列表中的，统一带 ecs 发到 8888 ，如果有中国 ip 就采用，没有中国 ip 就向 passwall 请求 fakeip 。网关上把 fakeip 段、8888 等 IP 静态路由发到 passwall 。多线的问题我没经验，你得自己研究一下，这是基于你现有的架构，其实旁路科学网关弄个 alpine 跑 sing-box core 就行。

没有代理，有无污染的 IP 不管用吧。

可以只清理特定网站的缓存的，一般不会出问题，出问题确实缓存的问题多一些。

这也太乱了，你知道自己在干什么不？

搞不懂，你们搭个 dns 转发器，最终不还是要转发给运营商 dns 或者国内的公共 dns ？最终还是要限速，除非 dns 全带 ecs 走代理。

想了半天卖国软件是什么意思，再仔细看读破句子了。

@Puteulanus #26 可能是 https://[id].alidns.com/dns-query 在 dns 里面还没有缓存吧，这种小众域名，如果之前没有任何人在 223 或者 119 等公共 dns 上解析过，第 1 次解析很慢的，也可能超时失败，只要有人解析过，后续就快了。你说的大部分都开，只有少数没开，这明显不可能，正常的情况应该是大部分人没开才对，解析失败的情况，应该是 doh 的域名第一次被解析。

@Puteulanus #12 白搭的，大部分都没开收费套餐的免费额度，意味着虽然能用，但是跟直接用 223 没有任何区别，该 QOS 还是 QOS 。

Adguard Home 、mosdns 、smartdns 的过期缓存，乐观缓存，还是会向上游请求更新的，对减少请求次数没有帮助。Adguard Home 的乐观缓存可能会帮一点，有限。