教程

Clash DNS 配置完全指南:分流解析与防污染实战

2026 年 6 月 10 日 约 10 分钟

本文由 Clash 官方中文网 整理。在 Clash 与 Mihomo 的规则分流体系中,DNS 往往是最容易被忽视、却又最容易引发「部分网站打不开」「解析慢」「规则不生效」的环节。许多用户把节点、策略组调得井井有条,却因为 DNS 返回了错误的 IP 或走了错误的解析路径,导致分流规则无法命中。本文将从原理到实战,系统讲解 Clash DNS 模块的配置思路,帮助你建立稳定、快速且抗污染的解析链路。

为什么 Clash 需要独立的 DNS 配置

操作系统默认 DNS 通常由路由器或运营商下发,解析结果可能受到劫持、缓存污染或跨境解析延迟的影响。Clash 作为本地代理核心,需要在流量进入规则匹配之前就知道目标域名对应的真实或虚拟地址,才能正确执行 DOMAINGEOSITE 等规则。

当 DNS 与代理链路脱节时,常见现象包括:国内网站被错误代理、境外网站直连失败、TLS 握手异常、或浏览器长时间卡在「正在解析」。因此,在进阶配置中单独规划 DNS 模块,是保障整体体验的关键一步。

可以把 DNS 模块理解为分流规则的「上游情报系统」——情报错了,后面再好的策略组也救不回来。

fake-ip 与 redir-host:两种核心模式

Mihomo / Clash Meta 系列核心支持两种增强 DNS 模式,理解差异是正确配置的前提。

fake-ip 模式

客户端为每个域名分配一个虚拟 IP(通常来自 198.18.0.0/15 段),应用向该 IP 发起连接时,核心再根据域名信息还原真实目标并匹配规则。优点是避免 DNS 泄露、减少解析等待、提升 TUN 模式兼容性;缺点是部分依赖真实 IP 的应用(如局域网设备发现、个别游戏)可能出现异常。

redir-host 模式

DNS 查询返回真实 IP,核心根据 IP 继续匹配 GEOIP 等规则。更接近传统代理行为,兼容性更好,但若上游 DNS 被污染,可能拿到错误 IP,规则命中也会偏离预期。通常需要配合可靠的远程 DNS 与 dns-hijack 才能稳定使用。

对比项fake-ipredir-host
返回地址虚拟 IP真实 IP
防 DNS 泄露较强需额外配置
TUN 兼容性优秀良好
特殊应用兼容偶有问题通常更好

DNS 分流:国内外解析走不同通道

高效配置通常将「国内域名」与「国外域名」交给不同的 DNS 服务器处理。国内域名使用运营商或公共 DNS(如 223.5.5.5)获得就近、准确的解析;国外域名通过代理链路查询远程 DNS(如 tls://8.8.8.8 或机场提供的 DNS),避免污染并获得更合理的跨境路由。

在配置文件中,可通过 nameserver-policy 为特定域名或域名后缀指定解析服务器。例如将 geosite:cn 指向国内 DNS,将 geosite:geolocation-!cn 指向代理 DNS。配合 fallbackfallback-filter,当主 DNS 返回疑似污染 IP 时自动切换备用解析,是实战中最常用的防污染组合。

推荐配置思路

  1. 启用 enhanced-mode: fake-ip(TUN 用户优先)或根据场景选择 redir-host。
  2. nameserver 填写可信国内 DNS;fallback 填写需走代理的远程 DNS。
  3. 使用 nameserver-policy 细化分流,避免所有查询都走境外 DNS 拖慢国内访问。
  4. fake-ip-filter 中加入局域网域名、NTP、部分国内服务域名,防止虚拟 IP 干扰本地业务。
dns:
  enable: true
  enhanced-mode: fake-ip
  nameserver:
    - https://223.5.5.5/dns-query
  fallback:
    - tls://8.8.8.8:853
  nameserver-policy:
    "geosite:cn": [https://223.5.5.5/dns-query]
    "geosite:geolocation-!cn": [tls://8.8.8.8:853]

常见问题与排查

开启代理后国内网站变慢:检查是否所有 DNS 查询都走了 fallback,应通过 nameserver-policy 让国内域名走国内 DNS。

部分 App 无法连接:尝试将相关域名加入 fake-ip-filter,或切换为 redir-host 测试。

规则明明写了 DOMAIN 却不生效:确认 DNS 模块已启用,且查询阶段未被错误 IP 干扰;在日志中查看实际匹配到的目标地址。

解析超时:检查远程 DNS 是否需代理出站,确保对应 DNS 查询流量能到达代理节点;可换用 httpstls 类型 DNS 提升稳定性。

总结

Clash DNS 配置并非一劳永逸的模板复制,而应结合你的客户端模式(系统代理 / TUN)、机场线路质量与常用应用场景微调。fake-ip 适合追求效率与防泄露的用户,redir-host 适合需要最大兼容性的环境。无论选择哪种模式,国内外分流解析 + 可靠 fallback 都是构建稳定分流体系的基础。

如需获取客户端与核心程序,可 前往官方下载页;首次配置建议结合 官方使用教程 完成订阅导入与规则模式设置。

相关文章