TPROXY之殇-NAT设备加代理的恶果 - CSDN博客
TPROXY之殇-NAT设备加代理的恶果
一段往事无独有偶，过了N多年，又到了这个时候，碰到了同样的事情...xx年的万圣节，由于服务器瘫痪我们被罚了500块钱，最终发现瘫痪的原因是TPROXY造成的，当时每个大服务区有一台LVS负载均衡设备，工作在NAT模式下，下联一台核心交换机，核心交换机分出N条线路去往各小区域服务器群，每一个小区域服务群拥有一台TPROXY实现的登录代理服务器，仅仅对登录数据包做代理，其它的包直接通过。&&&&&&& 事情发生在晚上8点左右，我们当时均在加班，值班客服接到大量的投诉电话，说是服务器无法登录...我们马上停下手头的新工作，投入到抢险第一线，经过简单排查，很快发现是LVS的端口用尽导致，但是排查出它为何用尽却用来一晚上的时间，到了次日早上7点多，我打车回家，路上正碰到上班高峰期，将近9点半才到家，路上基本都在睡觉。到家以后开始写分析文档，下午3点又去了公司(公司规定，如果发生通宵加班，次日上午可以回家休息一上午，下午3点如果不请假则必须正式上班，否则算缺勤...)只为了提交上午写的文档，其实本来想请假的，这才回了家，否则干脆就在公司了，可是事情重大，只能忍着，6点开始开会，一直开到9点灰头土脸的回家，期间说了涉事者每人罚款500元的事...按照那次的报告，提出了锥形设备以及倒锥型部署的概念，也正是本文要说的。&&&&&&& 本次的事情和我的关系并不大，也没有谁被罚款，实际上我早就换了工作。我只是根据现场支持的同事们的描述，回想起了我的那段往事，觉得挺一致，就写了篇文章。说实话，几年下来，我在协议栈的层次跌落了，当时的我虽然对IP路由等不是很了解，可是对TCP的细节的把握却非常好，现在我真心的觉得遇到瓶颈了...&&&&&&& 开篇之前再说几句题外话：第一，为什么不管我换了工作还是搬了家，公司离家的距离都是那么的远，不管是租的房子还是买的房子，不管是第一家公司还是现在的公司，我的打车费用都是110元到130元之间！第二，当时的公司怎么就不用VPN呢？要是用了，我肯定不会再跑回公司去提交什么文档。1.透明代理所谓的透明代理是针对客户端和服务器端两方面来讲的，对于客户端来讲，发起连接时连接的服务端是真实的服务器而不是代理服务器，对于服务器端来讲，收到的请求来自真实客户端而不是代理服务器。当然这其中有偷梁换柱的过程，一切仅仅是看起来很透明而已。2.TPROXYTPROXY是Linux系统上实现透明代理的首选，它利用了Linux网络的利器-Netfilter实现了一些target，比如TPROXY，另外还有一个socket match用于捕获服务器返回的数据包，确保它们能够再回到代理服务器应用程序。&&&&&&& 值得注意的是，配置TPROXY一定要确保文件打开描述符的数量足够大，因为代理服务要创建大量的socket，每一个socket对应一个文件描述符。2.1.IP_TRANSPARENT选项IP_TRANSPARENT可以实现很神奇的事情，即，它可以bind一个不属于本机的IP地址，作为客户端，它可以使用一个不属于本机地址的IP地址作为源IP发起连接，作为服务端，它可以侦听在一个不属于本机的IP地址上，而这正是透明代理所必须的。面对真实的客户端，透明代理明知道目标地址不是自己，却还是要接受连接，对于真实的服务器，透明代理明显不是真实的客户端，却还要使用真实客户端的地址发起连接。2.2.截获数据捕获数据就是把本来不该发给这台设备的数据捕获到这台设备的应用层。方法太多了，用ebtables，iptables，策略路由，不管是二层模式还是路由模式，捕获数据都不是问题，具体到细节，还得需要应用层参与，因为数据到达第四层的时候，会去查socket，也就是说必须得有一个socket和数据包关联起来，而一个socket又和一个应用程序关联，最终，一个数据包被捕获后，发给一个应用程序！2.2.1.NAT方式应用层启用一个服务，侦听一个端口，使用iptables的DNAT或者REDIRECT这些target可以将数据包定向到本机应用程序。此时如果你使用netstat查看，看到的目标地址将是本机socket侦听的地址。2.2.2.纯TPROXY方式即使不用NAT，也可以通过TPROXY target和策略路由的方式将数据包捕获，首先需要定义一条iptables规则：-A PREROUTING -p tcp -m tcp --dport 80 -j TPROXY --on-port 0 --on-ip 0.0.0.0 --tproxy-mark 100定义一条rule以及路由：ip rule add fwmark 100 tab proxyip route add local 0.0.0.0/0 dev lo tab proxy如此一来，不管你发给哪个IP地址的到达80端口的TCP连接，均将被捕获，比如代理服务器的地址是192.168.100.100，而你发包的目标地址是1.2.3.4，只要数据包到达这台机器，均会被捕获到应用层。这是怎么回事呢？使用IP_TRANSPARENT选项可以侦听任意IP或者所有IP，当你侦听所有IP的时候，效果就呈现了，只需下面代码便可以测试：struct sockaddr_in addr = {0};
int opt = 1;
fd = socket(AF_INET,SOCK_STREAM,0);
addr.sin_family = AF_INET;
addr.sin_port = htons(80);
addr.sin_addr.s_addr = htonl(INADDR_ANY);
setsockopt(fd,SOL_IP, TRANSPARENT,&opt,sizeof(opt));
bind(fd,(struct sockaddr *)(&addr),sizeof(struct sockaddr));
setsockopt(fd,SOL_SOCKET,SO_REUSEADDR,&opt,sizeof(opt));
listen(fd,5);虽然本机根本就没有1.2.3.4这个地址，但是如果你在另一台机器上telnet 1.2.3.4 80，确保数据包经过192.168.100.100后，照样可以连通。 3.tuple空间一个tuple代表了一个socket连接，在一台机器上，在一个命名空间内，tuple必须是唯一的，因为系统要区分一个数据要发给谁而不该发给谁。一般而言，tuple唯一性由第四层来保证，但是在设计的时候，由于NAT这种锥形行为使用了第四层的信息，因此NAT以及ip_conntrack也要确保tuple的唯一性。具体一点说，一个TCP的tuple包括了4元组：源IP地址，源端口号，目标IP地址，目标端口号。4.部署问题作为一个代理程序，TPROXY要同时扮演客户端和服务器的功能，它一般部署在客户端和服务器的中间，普遍的部署拓扑为沙漏型部署，如下图所示：注意，部署了TPROXY代理之后，tuple空间并没有什么损失，由于客户端IP地址集合非常大，服务器IP地址空间也不小，因此TPROXY代理的确定化侦听端口并不会带来什么损失，此处有一个默认前提，一般的服务都是侦听熟知端口，因此并不存在大量的端口的情况，端口和IP地址的数量不对称性是关键。4.1.沙漏部署典型的，如透明代理，负载均衡设备，IPS，IDS，防火墙等，工作在三层或者七层透明模式下的部署都是沙漏部署，七层模式比三层/二层模式更消耗tuple空间，但是在服务器端都是熟知端口的情况下，可以忽略这种损失。4.2.锥形设备类似NAT设备，NAT模式下的负载均衡设备，这些都属于锥形设备，所谓的锥形设备就是将一个以IP为标识的tuple元素映射成一个以IP-端口对为标识的tuple元组的设备，比如NAT设备可以将不同的IP地址映射成一个IP地址，然后用不同的端口来区分。&&&&&&& 简单点说，锥形设备就是将区分源IP，复用源端口改为了复用源IP，区分源端口，但是这种转换是不对称的，因为IP地址空间有32位，端口地址空间有16位，锥形转换一定会带来tuple空间的缩小，在目标服务为熟知端口的情况下，这种缩小更为严重，这就是说，源地址转换基本都是发生在出口位置而不是发生在入口位置的。为何服务会偏好熟知端口，因为服务的命名空间是策略化的，和服务的IP地址空间明显不同，端口很难通过类似DNS来检索，记住，IP和服务关系并不大，它只是为了寻址，服务的根本性的标识就是端口！&&&&&&& 所以，由于这种端口和IP地址空间的不对称性，在面对不同IP地址的相同端口的服务时，锥形设备并不会减少多少tuple空间的大小，但是一旦锥形设备和服务之间接连七层模式的沙漏设备时，就会带来tuple空间的迅速坍缩！因为七层模式下，一个服务必然要绑定一个确定的端口，从而抵消掉前面锥形设备的端口发散效果。4.3.倒锥形部署所谓的倒锥形部署就是将锥形设备和七层模式沙漏设备串行结合在一起的部署方式，比如锥形NAT设备后面接一个TPROXY代理设备。这会带来什么问题呢？很显然，必须在代理设备上保证tuple的唯一性，为了保证这个唯一性，不得不付出一些代价，代价就是牺牲掉大量的tuple空间。也就是说，虽然锥形设备靠端口保证了tuple唯一性，但是锥形设备和沙漏设备串接在一起的时候，由于单独的沙漏设备也要保持tuple唯一性，因此就会抵消掉锥形设备的端口发散效果。锥形设备不是用端口来保证唯一性吗？紧接着的沙漏设备恰好也要这样，就会引起冲突，如下图所示：试想一下，以往的一对多的连接被一对一的连接代替，大家即使都用IP-端口对，tuple空间也会减小！现在看一下到底是什么引发了倒锥型现象！4.4.NAT方式-地址约束前面提到过，可以通过目标NAT的方式将数据包导入本地七层，这样的后果就是大量的真实服务器的IP地址映射成了少量的本机IP地址，本来可以用相同的锥形设备的IP地址和锥形设备的源端口访问不同的服务器的连接，此时不得不使用不同的锥形设备的源端口。注意，即使TPROXY前面的锥形设备使用了相同的源端口，也会被TPROXY的NAT模块改成不同的端口，因为TPROXY设备要保证tuple唯一性。这会导致什么问题呢？TPROXY上的端口将会快速被用尽，使得前面的锥形设备不得不使用不同的端口才能连接成功，这就会导致前面锥形设备的端口快速回绕。&&&&&&& 也许你懂得比较多，会说，我可以多添加几个DNAT，甚至使用port range，那么请问，对于前者，面对浩瀚的客户端地址空间，你在你的一块网卡上加多少IP地址算多呢？对于后者，面对浩瀚的真实客户端的地址空间，你又能建立多少个服务呢？这种想法固然可以缓解倒锥的压力，但是在大量短连接的情况下，大量的TIME_WAIT状态的socket会占据大量的tuple空间。也许对于较真儿的同学，他们会说，有一种TCP的优化，对于客户端初始序列号单调递增的情形，服务端的TIME_WAIT套接字可以重用。面对这样的人，我承认，我输了，我玩不过这些学院派，可是我面对的这台代理服务器并没有实现这个优化！4.5.纯TPROXY方式-端口约束NAT竟然带来这么多的问题，那好吧，我不用NAT，使用纯TPROXY的方式来截获真实前端锥形设备发来的数据包可好？和NAT方式不同的是，纯TPROXY方式并没有任何的本机IP地址参与，因此本机IP地址也不会占据任何tuple空间的元素，这难道不是把问题解决了吗？是的，在侦听熟知端口的情况下，和前端锥形设备之间的冲突看似解决了，可是和后端服务器的冲突却开始了。假设后端服务器均是侦听80端口的WEB服务，你在TPROXY上也使用IP_TRANSPARENT选项侦听所有地址的80，此时一个来自锥形设备的连接被捕获，此tuple将被记录在TPROXY系统内，此时TPROXY需要初始化一个到达真实服务器的连接，为了tuple唯一性，它将不能使用锥形设备发起端的源端口，而不得不使用另外一个端口，统计下来，一半的请求将无法接入。4.6.优化我只能说，最好别优化。在我被罚款的那次，我优化了，因为我知道我的服务器和客户端的行为，这些都是我们自己开发的，我当然可以统揽全局，但是对于你把控不了全局的情况下，最好还是保持现状。我的优化方式是，纯TPROXY和NAT混合使用。
本文已收录于以下专栏：
相关文章推荐
1.1 什么是NAT
在传统的标准的TCP/IP通信过程中，所有的路由器仅仅是充当一个中间人的角色，也就是通常所说的存储转发，路由器并不会对转发的数据包进行修改， 更为确切的说，...
1.1 什么是NAT
在传统的标准的TCP/IP 通信过程中，所有的路由器仅仅是充当一个中间人的角色，也就是通常所说的存储转发，路由器并不会对转发的数据包进行修改，更为确切的说，除了将源...
iptables防火墙与NAT服务
一.防火墙的概述
(1)设置在不同的网络或网络安全域之间的一系列部件的组合,它能增强机构内部网络的安全性
(2)通过审查经过每一个数据包，判断它是...
NAT一般情况下分为SNAT，DNAT和PNAT
此篇主要讲述的是使用iptables配置NAT，所以这3种NAT的区别和应用场景就简单的说明一下
SNAT：源地址转换
在《两台不同网段的PC直连是否可以相互ping通》一文中，我有点像在玩旁门左道，本文中，我继续走火入魔。两台机器，M1和M2，各自有一个网卡eth0，配置如下：M1的配置：eth0上不配置任何IP地址...
上周六晚上闲来无事跟以前的同事聊天，问之最近有没有接触到什么比较好玩的技术，答曰tun2socks。这个正合我的胃口，我所谓的好玩的技术是那种简单，有用的技术点或者技术框架，能在10分钟内领略其原理和...
TPROXY - Transparent proxy - TCP program - RHEL6
tcp_tproxy.c
 * # iptables -t mangle -N...
对于那些使用NTLM进行身份验证的网络代理环境（即设置上除需要代理主机和端口之外还需要提供域用户和密码）来说，通过代理上网是一件头痛的事情，这主要是因为很多软件不支持NTLM验证的代理（比如目前的GI...
udp_tproxy.c
 * # iptables -t mangle -N DIVERT
 * # iptables -t mangle -A PREROUTING -p ud...
由于端午节加班攒了两天调休，周四，五就申请休假了，刚申请下来调休，老婆突然就决定带着小小西北行了，周五出发，这次是去环青海…休假本为了放松，却成了坑。周四先是去看了《加勒比海盗5》，然后我就觉得这假期...
他的最新文章
讲师：吴岸城
您举报文章：
举报原因：
原文地址：
原因补充：
(最多只允许输入30个字)> iptables tproxy
Linux下iptables原理。netfilter iptables（简称为iptables）组成Linux平台下的包过滤防火墙，与大多
iptables详解。防火墙，其实说白了讲，就是用于实现Linux下访问控制的功能的，它分为硬件
防火墙常用范例。
docker与iptables关系，docker使用linux中的namespace隔离资源，一个docker容器会分配一个独立的netwo
细说firewalld和iptables。在RHEL7里有几种防火墙共存：firewalld、iptables、ebtables，默认是使用fire
iptables+tproxy实现ss-redir的UDP转发的方法。我很喜欢在OpenWrt路由器上配置Shadowsocks实现科学的
centos7 keepalived 主备通信 防火墙vrrp 协议。centos 防火墙有两种管理方式firewall， iptables两者
本文对kube-proxy做了一些总结说明，对其内部的实现原理进行了研究，并对userspace和iptables两
iptables相关教程。Iptables也叫netfilter是Linux下自带的一款免费且优秀的基于包过滤的防火墙工
Centos6 8 防火墙设置。1、指令 vi
etc sysconfig iptables，添加以下内容和要开放的端口。
FirewallD 是 iptables 的一个封装，可以让你更容易地管理 iptables 规则 - 它并不是 iptables 的替
CentOS7 用 firewall 命令 “替代” 了 iptables。在这里我们需要区分 “iptables 服务” 和“iptables
etc sysconfig iptables
iptables-save
iptables restart
service docker restart
linux关闭防火墙，selinux，linux关闭防火墙，selinux，1 关闭防火墙命令 service iptables stop 查看
CentOS 防火墙(iptables netfilter)学习。防火墙的是功能就是隔离受信任的网络与非受信任的网络
CentOS升级到7之后用firewall代替了iptables来设置Linux端口，下面是具体的设置方法：
1） iptables 忘记关，selinux没有disable ：此时通常的错误是数据库无法访问 2） 虚拟用户无法
历史上，Open vSwitch（OVS）不能直接与iptables交互以实现安全组。 因此，OVS代理和计算服务在
iptables学习：linux 1 x时代：ipfirewall（从freeBSD上移植过来的）linux 2 x时代：ipchains，现在：ipt
克隆Linux虚拟机之前的配置
0、关闭防火墙
[root@master ~]
service iptables stop
[root@master ~
其中，表名，链名用来指定iptables命令所操作的表和链，未指定表名时将默认使用filter表；
原文地址：http:
blog csdn net woody_0011 article details
一、iptables防火墙的一些基础知识：
首先需要认识到什么是防火墙，防火墙是通过一些有顺序的规则。给从网络中进入到主机应
iptables+tproxy实现ss-redir的UDP转发的方法。我很喜欢在OpenWrt路由器上配置Shadowsocks实现科学的
在上一博客Linux-iptables命令中，我们知道了一些iptable的nat表中几个链的区别，这里单独讲其
netfilter iptables（简称为iptables）组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，
热门文章热门标签
04月14日 |
04月14日 |
04月14日 |
04月15日 |
04月15日 |
04月15日 |
04月15日 |
04月15日 |Shadowsocks + ChnRoute 实现 OpenWRT 路由器自动翻墙配置
作者：用户
本文讲的是Shadowsocks + ChnRoute 实现 OpenWRT 路由器自动翻墙配置，
这篇文章介绍的方法基于aa65535的shadowsocks-spec for openwrt，介绍了如何在OpenWRT下配置自动翻墙，新版本支持在Luci下图形化配置，大大简化了配置过程。配置完成后，路由器本身获得自动翻墙能
这篇介绍的方法基于aa65535的shadowsocks-spec for openwrt，介绍了如何在OpenWRT下配置自动翻墙，新版本支持在Luci下图形化配置，大大简化了配置过程。配置完成后，路由器本身获得自动翻墙能力，所有连入该路由的设备都可无障碍访问被墙的站点。是运行于路由器的透明代理。
方案根据IP判断是否代理，国内IP不代理，国外IP走代理。代理通过shadowsocks所带ss-redir做TCP转发实现，分国内外IP通过国内IP段文件chnroute来区别，并通过iptables规则分别处理（这些功能已经全部集成到shadowsocks-spec里了无需额外配置）。由于是基于IP的判定，故需要解决DNS污染的问题，故搭配使用ChinaDNS来解决。
由于只要国外IP均走代理，而不是被墙才走代理，那么本方案的优缺点也就很明显了。
优点：基本不会有漏网之鱼，保证所有被墙站点能访问；能够一定程度改善国内访问一些国外网站缓慢的问题，如果你的服务器速度很好，那么甚至可以起到加速国外站点访问的作用。
缺点：如果服务器速度一般，访问一些网站甚至会减速；对一些限制IP的站点和软件应用可能会造成麻烦。总之，请酌情选择。
一、shadowsocks 安装
首次安装的话，先安装必要的包，确保路由器联网，先更新软件包列表（下载有问题的请手动到openwrt.org下载所有需要的包并上传到路由器上使用opkg install XXX.ipk命令安装）：
opkg update
shadowsocks有openssl（文件名是shadowsocks-libev-spec-X.XX.ipk）和polarssl（文件名是shadowsocks-libev-spec-polarssl-X.XX.ipk）两个版本选择，ROM空间吃紧的就选择后者吧。
先安装必要的包，如果要用polarssl版本的shadowsocks（polarssl体积更小）：
opkg install ipset libpolarssl resolveip iptables-mod-tproxy
如果要用普通版本（openssl）的shadowsocks，那么(openssl兼容性更好)：
opkg install ipset libopenssl resolveip iptables-mod-tproxy
期间可能会遇到类似以下的错误提示：
kmod: failed to insert /lib/modules/3.10.44/ip_set.ko
kmod: failed to insert /lib/modules/3.10.44/ip_set_bitmap_ip.ko
kmod: failed to insert /lib/modules/3.10.44/ip_set_bitmap_ipmac.ko
没关系，这时因为安装ipset包后需要重启，我们此时先重启一次路由器。
然后下载下面四个包，前两个ipk包需要根据自己CPU型号选择：
接着将下载的包通过WinSCP之类的工具上传至路由器的/tmp目录。
接着安装shadowsocks和chinadns，一步步执行：
opkg install shadowsocks-libev-spec_x.x.x-x_ar71xx.ipk
opkg install ChinaDNS_x.x.x-x_ar71xx.ipk
opkg install luci-app-chinadns_x.x.x-x_all.ipk
opkg install luci-app-shadowsocks-spec_x.x.x-x_all.ipk
特别提醒：，由于ChinaDNS-C更名为ChinaDNS，所以包名有变化，此前安装过ChinaDNS-C的，需要手动卸载并重新安装新版。
安装完成后，shadowsocks和chinadns应该会被配置成开机启动，如果发现没有生效，运行：
/etc/init.d/shadowsocks enable
/etc/init.d/chinadns enable
二、shadowsocks 配置
我们登陆Luci，指向“服务”，此时应该能够看到shadowsocks和chinadns了。
点击shadowsocks，取消勾选“使用配置文件”，新的选项就出来了，我们把服务器信息填进去，代理方式选择“忽略列表”，然后先把下面UDP转发功能关闭，然后保存并应用（选项不要留空）。服务器地址请尽量填入IP，否则容易出问题！ 全部完成后，刷新页面，确保shadowsocks是已启动状态。否则请检查配置。
当然，你可以继续使用 config.json 进行配置，格式如下：
"server": "X.X.X.X",
"server_port": "443",
"password": "password",
"local_port": "1080",
"method": "rc4-md5"
最后记得在Luci里面填把“使用配置文件”勾上，然后填写配置文件位置（不要留空）：
然后看一下ChinaDNS的配置界面，此时可以先按照默认的配置来，确保ChinaDNS可以正常启动，也可以参考下面：
做出说明：
ChinaDNS参数说明
然后，在Luci中切换至“网络”-“DHCP/DNS”设置，如下图，在”DNS转发”中填入127.0.0.1#5353
其中，5353是ChinaDNS的端口，如果你在之前设置界面里改了，这里记得别填错。
然后切到HOSTS和解析文件选项卡，勾中“忽略解析文件”
接下来的步骤会有区别，通过ChinaDNS进行防DNS污染及解析结果优化，方案有三：
1、对于shadowsocks是用自己服务器搭建的，推荐方案一，在自己服务器上搭建DNS服务；
2、如果没有这个条件，但服务器支持UDP转发（较新版本Shadowsocks均支持），那么方案二；
3、如果服务器Shadowsocks版本老，不支持UDP转发，那么可用方案三，要求版本&=1.2.0；
4、如果方案三不好用，可以考虑使用方案四：TCP 方式查询解决 DNS 污染问题
前两种方案，目前来说是绝对没有DNS污染现象的，此时ChinaDNS的作用完全就是为国外站点做解析优化，因为DNS查询由代理服务器转发，DNS查询的发起者相当于代理服务器，获得的解析结果都是就近于代理服务器的；而方案三则会直面DNS污染，此时ChinaDNS的防污染功能发挥作用，同时方案三无法做到国外网站解析结果优化，因为获得的IP是就近于你的位置的。方案四则可以有效的避免国外DNS的污染，不过同样也无法做到国外网站解析结果优化。
PS1：ignore.list的定期更新以匹配最新IP段分配，长时间不更新可能导致部分国内IP走代理或者国外不走代理，可以使用下面的命令：
wget -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf("%s/%d\n", $4, 32-log($5)/log(2)) }' & /etc/shadowsocks/ignore.list
curl 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf("%s/%d\n", $4, 32-log($5)/log(2)) }' & /etc/shadowsocks/ignore.list
当然你也可以重新下载新版的shadowsocks重新安装。ChinaDNS的同样也需要更新，长时间不更新可能导致解析某些地址时候失败，默认位置是 /etc/chinadns_chnroute.txt
PS2：ChinaDNS的 chinadns_chnroute.txt 和shadowsocks的 ignore.list 其实是重复的，此时你只需把luci配置界面里面ChinaDNS的chnroute改成 /etc/shadowsocks/ignore.list 就行了， chinadns_chnroute.txt 也就可以删除了，这样一来省点空间，而且免去要同时更新两个文件的麻烦。
PS3：如遇到别的被墙站点没问题但YouTube, Facebook, Twitter打不开，应该是DNS污染造成，请用dig命令排查，并尝试更换DNS转发方案。方案一和方案二可以配合这个dnsmasq配置文件使用效果更佳：dnsmasq_list.conf ，具体用法我就不详细说了，总之去掉ipset=/…/…的行，然后把127.0.0.1#5353改成你的相应地址。
以上是云栖社区小编为您精心准备的的内容，在云栖社区的博客、问答、公众号、人物、课程等栏目也有的相关内容，欢迎继续使用右上角搜索按钮进行搜索站点
openwrt shadowsocks、openwrtshadowsocks、openwrt shadowsock、openwrt shadow、openwrt redsocks2，以便于您获取更多的相关知识。
稳定可靠、可弹性伸缩的在线数据库服务，全球最受欢迎的开源数据库之一
6款热门基础云产品6个月免费体验；2款产品1年体验;1款产品2年体验
弹性可伸缩的计算服务，助您降低 IT 成本，提升运维效率
开发者常用软件，超百款实用软件一站式提供
云栖社区()为您免费提供相关信息，包括
，所有相关内容均不代表云栖社区的意见！}