担心宽带运营商记录你的上网足迹?本文深入解析FlClash客户端的DNS配置奥秘,从「覆写DNS」到「默认域名服务器」「域名服务器策略」「域名服务器」「代理域名服务器」,一步步教你开启加密DNS(DoH/DoT),并利用Fake-IP模式彻底杜绝DNS泄露。附专业检测方法,让你的网络隐私固若金汤。
为了提升DNS查询的隐私性,防止宽带运营商或其他上层系统,窥探用户的科学探索行为和访问网址,目前主流的加速器软件已内置并默认开启了DNS保护模式。
例如,比较流行的客户端 FlClash、Clash Verge Rev等,都自带了DNS功能且默认启用(如果没有特殊需求,保持默认也可安全上网)。
接下来,我们将介绍Clash「进阶配置」中的DNS设置页面,看看默认开启了哪些DNS功能,以及为了彻底避免DNS泄漏,还需要额外开启哪些功能模块。
此外,对「默认域名服务器」「域名服务器策略」「域名服务器」「代理域名服务器」等容易混淆的模块,本文也将详细说明它们之间的功能区别和的DNS地址填写方法。
下图所示,就是FlClash电脑版的DNS配置页面,进入路径:「工具」-「进阶配置」-「DNS」。打开后,就可以看到如下配置界面:

图中列出来的各选项,只有第一项「覆写DNS」是我手动开启的,其他都是默认状态(或许版本不同,默认开启项也有区别)。
FlClash默认配置就已经开启了 FlClash 的内置 DNS 服务,其实没有特殊需求,保持默认配置也可以。
下面来分析这些选项,到底能不能保护DNS不泄露,还有哪些功能需要开启,哪些建议关注。
相关参考内容:
🥭《DNS泄露的危害、在线检测网站及解决方法,助你守护上网隐私》https://yoyapai.com/421
🍋关于DNS污染、劫持等安全常识,可参考:《专题丨💻DNS污染/劫持检测及修复》:https://yoyapai.com/tag/dns
🍊如需了解FlClash的官方下载网址,以及怎么使用,可参考之前的文章:《专题丨FlClash官方下载入口、配置使用教程》https://yoyapai.com/tag/flclash使用教程
一、FlClash电脑版「DNS」配置页功能说明
以下各项功能模块中,部分模块可以保持默认状态,无需手动配置,因此就忽略不介绍了。
「覆写DNS」:
建议开启「覆写DNS」,这样在隐私保护上会有更大的提升。
如果关闭「覆写DNS」模式,那么FlClash软件执行的就是Clash配置文件(yaml)中自带的 DNS 设置。如果配置文件里写的是国内DNS地址 114.114.114.114 或谷歌的 8.8.8.8(普通 UDP 协议),那么你的 DNS 请求依然是以明文发送的,宽带运营商ISP 理论上可以拦截或记录。
仅仅填写国外公共DNS服务器地址,依然是明文查询,并不能防止DNS泄露。详细说明请参考《用国外DNS服务器真能隐藏访问记录?一文说清DNS查询隐私真相》https://yoyapai.com/418 一文。
开启「覆写DNS」这个功能开关后,在接下来介绍的模块中再手动指定具有加密能力的海外 DNS 服务器(DoH 或 DoT),能够彻底杜绝 ISP 宽带运营商和其他系统的窥探。
「状态」:
默认已开启,已启用FlClash内置DNS功能。这是基础,务必保持开启状态。开启后,FlClash软件才会接管电脑系统的 DNS 请求。
「IPv6」:
建议关闭。除非你有明确的 IPv6 使用需求,否则建议在 FlClash 的 DNS 设置中关闭 IPv6 开关。原因:Windows 系统在处理 IPv6 DNS 时非常「激进」,有时会绕过代理软件的 TUN 虚拟网卡,直接去请求运营商分配的 IPv6 DNS,这样就可能导致 DNS 泄露。
「PreferH3」:
建议开启。如果你的 DNS 服务器支持(如阿里、Google、Cloudflare),开启 PreferH3 后,会让 DNS 请求通过 HTTP/3 (QUIC) 协议发送。
好处:相比普通的 HTTPS (TCP),QUIC 协议在握手速度和抗干扰能力上更强,能进一步提升查询的隐蔽性和响应速度。
「DNS 模式」:
默认选择了fakeIp,就是FakeIP模式,这是对隐私保护非常有利的加强模式,建议保持。
在这个模式下,系统会立即收到一个虚假 IP(如 198.18.x.x),而真实的 DNS 解析是在远程代理服务器上完成的。在该模式下,你的宽带运营商(ISP)在大多数情况下,根本看不到你DNS查询的真实域名。下面的「FakeIP 范围」,可以自定义IP段。
「默认域名服务器(Bootstrap)」:
建议填写传统非加密的国内DNS:
223.5.5.5(阿里DNS)119.29.29.29(腾讯DNS)
其实,这两个DNS地址,也是FlClash默认已经添加好的。当然,也可以填写其他DNS,或者填写海外DNS也不是不行。
为什么建议在「默认域名服务器」中填写国内DNS?因为「默认域名服务器(Bootstrap DNS)」的作用,非常特殊。虽然技术上可以填写 8.8.8.8 或 1.1.1.1,但在实际使用中,强烈建议不要在这一栏只填写这些国外 DNS。
原因:
「默认域名服务器」的特殊职责,是所有解析过程的「基石」。它的唯一任务是:解析后续设置的加密 DNS(DoH/DoT)的域名。
例如,如果在接下来的「域名服务器策略」里配置了 https://dns.google/dns-query,软件首先需要知道 dns.google 的 IP 地址是多少。这时,它就会去询问「默认域名服务器」。
为什么填国外DNS 8.8.8.8 或 1.1.1.1 可能会有问题?由于这些国外 DNS 服务器的官方地址,在某些国家或地区特定网络环境下,经常受到干扰或污染,比如:
- UDP 污染:这类标准 DNS 请求使用的是 53 端口。在没有代理介入的初始阶段,这些请求极易被运营商拦截并返回一个错误的 IP。
- 死循环(鸡生蛋问题):如果「默认域名服务器」解析失败,软件就拿不到加密 DNS 的真实 IP,导致加密 DNS 无法启动,最终整个翻墙网络可能都会瘫痪。
因此,最佳实践建议:为了保证DNS解析的稳定性和隐私的平衡,建议采取 「国内 IP + 国外 DoH」 的组合。
也就是:「默认域名服务器」,填写填国内纯 IP,FlClash默认也是填写了国内大型服务商的 IP 地址,因为它们不是用来解析我们访问的网址,而是解析加密DNS地址的,这样速度最快且报错概率低。
会担心隐私问题? 不用担心。这一步仅仅是用来寻找「加密 DNS 服务器在哪里」,它并不知道最终用户要访问什么网站。
那用来解析我们最终访问的网址的DNS,怎么填写?继续下面设置。
「域名服务器策略(Policy)」 :
FlClash 的「域名服务器策略 (nameserver-policy)」的作用是:「当访问某些指定的特定网址时,跳过通用 DNS,强制使用指定的 DNS 服务器。」也就是用来DNS分流。
关于「域名服务器策略」的功能和详细配置说明,请参考:《FlClash软件DNS「域名服务器策略」详解:配置指南与优化技巧》https://yoyapai.com/423 一文。
「域名服务器(Nameserver)」:
当我们开启了前面介绍的「覆写 DNS」后,凡是没有在「域名服务器策略」中明确指定的域名,都会向这个「域名服务器」列表里的服务器发起请求。
并行查询:如果在「域名服务器」里填了多个地址(比如阿里 DNS 和 Google DNS),它通常会同时发起请求,谁返回得快就用谁的(取决于具体的内置策略)。
Fake-IP 模式下的作用:虽然系统拿到了虚假 IP,但 Clash 仍然需要在后台通过这些「域名服务器」去获取真实的 IP,以便判断流量该走哪个节点。
强烈建议手动配置。
虽然FlClash软件已经内置了默认值,但为了隐私和解析质量,手动配置能确保流量不会意外流向不安全的服务器。
推荐配置方案(兼顾隐私与速度):
既然前面已经在「域名服务器策略」里配置了国内外的分流,那么在「域名服务器」这一栏,建议填写 1-2 个国内高速加密 DNS 和 1 个国外加密 DNS 作为备选:
https://223.5.5.5/dns-query(阿里 – 国内极速)https://doh.pub/dns-query(腾讯 – 国内稳定)https://dns.google/dns-query(Google – 海外兜底)
当然,如果你信不过所有国内的DNS服务商,也可以全部填写国外公共加密DNS。可以参考此文:
💡《海外免费公共 DNS 服务器地址推荐丨IPv4、IPv6、DoH、DoT》https://yoyapai.com/99
「Fallback(回退域名服务器)」:
- 域名服务器(Nameserver):主要负责国内/常规解析。
- Fallback:专门负责海外/被墙域名的解析,建议填国外加密 DNS(Google/Cloudflare)
- 二者关系:在 Clash 的机制中,如果 「域名服务器」 返回的是国内 IP,就直接用;如果返回的是海外 IP 或被污染的 IP,Clash 会转而信任 Fallback 的结果。
「代理域名服务器」:
在 FlClash(及 Mihomo/Clash Meta 内核)的 DNS 体系中,「代理域名服务器」(英文原名为 proxy-server-nameserver)是一个非常垂直且关键的设置。
如果说「域名服务器」是为你上网服务的,那么「代理域名服务器」就是专门为你的「代理节点」服务的。
「代理域名服务器」的核心作用,就是解析「节点」的地址。
当我们导入订阅后,代理节点通常不是 IP 地址,而是一个域名(例如 hk01.v2ray-provider.com)。
- 矛盾点:软件要连接代理节点,必须先知道这个域名的 IP。但此时代理通道还没建立,它不能通过代理去查 DNS。
- 解决方案:它必须求助于一个能在「直连」状态下快速、准确响应的 DNS。这就是「代理域名服务器」的工作。
它只负责解析你节点列表里的那些域名,不负责你浏览网页的域名。
你可能会问:这和「默认域名服务器(Bootstrap)」有什么区别?
- 默认域名服务器 (Bootstrap):仅用于解析 DNS 服务器(如
dns.google)的 IP。 - 代理域名服务器 (Proxy Nameserver):仅用于解析 代理节点(如
your-proxy-node.com)的 IP。
设置「代理域名服务器」的好处:
- 防止「节点域名」污染:有些运营商可能会针对已知的代理提供商域名进行 DNS 污染。如果你在这里配置了加密 DNS(DoH/DoT)或可靠的公共 DNS,可以确保软件能拿到节点真实的 IP,从而成功建立连接。
- 提升连接速度:如果这里填写的 DNS 响应非常快,那么软件启动、切换节点时的「握手」时间就会缩短。
- 解决「冷启动」问题:当软件刚开启,一切还没就绪时,一个可靠的代理域名服务器是通往外部世界的「第一块敲门砖」。
建议手动配置:因为默认情况下,它可能会回退到系统 DNS,而系统 DNS 容易受到运营商的监控或劫持。
推荐配置方案:既然节点解析需要快且准,建议填写国内最顶级的公共 DNS(纯 IP 或 DoH 均可):
223.5.5.5(阿里)119.29.29.29(腾讯)https://223.5.5.5/dns-query(阿里 DoH,更隐私)
二、「DNS」配置中的四个域名服务器的列表比较
这几个DNS服务器模块名字相近,功能也容易混淆,这里单独列表进行比较。
| 名称 | 对应英文 | 核心角色 | 比喻 |
|---|---|---|---|
| 默认域名服务器 | Bootstrap | 解析 DNS 服务器的 IP。如果你用了 DoH(带 https 的地址),必须靠它先找到服务器在哪。 | 引路人:指引你去保险柜的路上。 |
| 域名服务器策略 | Policy | 精准分流解析。根据你设置的规则(如 geosite:cn),特定的网站去特定的 DNS。 | 专柜接待:VIP 客户(特定网站)直接带去专门窗口。 |
| 域名服务器 | Nameserver | 兜底解析。如果一个网址不符合「策略」里的任何规则,就会由这里填写的 DNS 负责。 | 普通柜台:剩下的所有普通客户都在这里排队。 |
| 代理域名服务器 | Proxy Nameserver | 解析代理节点的域名。 | 钥匙:帮你打开代理大门的钥匙。 |
三、如何验证和检测是否DNS泄露?
配置完成后,不能只看软件界面,建议通过以下步骤实测:
- 清理系统缓存:在 Windows 命令行(CMD)输入
ipconfig /flushdns。 - 专业网站检测:🍋 关于DNS泄露是什么意思,有哪些危害,如何通过在线网站检测,以及解决和修复方法,请参考《DNS泄露的危害、在线检测网站及解决方法,助你守护上网隐私》https://yoyapai.com/421 一文。
- 怎么看检测结果:
- 理想状态:列表中不出现任何你所在宽带运营商(如中国电信/联通/移动)的服务器名称。
- 合格状态:如果开启了
fake-ip,列表里通常只会显示你代理节点的出口 DNS。
四、总结一下
这样操作后,你的 DNS 查询就像是被装进了加密保险箱,ISP 既无法解密也无法劫持。
至此,FlClash 的「DNS配置迷宫」已经走完。从原理到指尖的每一次点击,从隐匿的风险到固若金汤的配置,这条守护数字足迹的路径,已经解释清晰了。
记住,真正的隐私保护,不在于工具的复杂,而在于理解的深度与配置的精准。开启「覆写DNS」,拥抱 Fake-IP,精心调配那四个各司其职的「域名服务器」,让默认的引路人、精准的分流者、兜底的守护者与开启代理的钥匙,协同奏响一曲无缝的加密乐章。你的每一次查询,都将化作只有目的地知晓的密语。
最后,别忘了经常检测DNS泄露。清空缓存,打开检测网站。当检测结果页中不再闪现熟悉的运营商身影,只有代理节点的出口 DNS 安然列队时,你便可确信:你的探索轨迹,已隐入加密的云烟,再无旁人的窥探。
📚更多网络安全相关使用教程:
- 《专题丨💻DNS泄露、污染、劫持检测及修复》:https://yoyapai.com/tag/dns
- 《专题丨🛜每日更新最新免费节点》:https://yoyapai.com/category/mianfeijiedian
- 《专题丨科学上网工具下载》:https://yoyapai.com/category/kexueshangwanggongju
- 《专题丨安全上网及软件使用教程》:https://yoyapai.com/category/security-and-privacy
- 《专题丨密码管理器使用教程》:https://yoyapai.com/category/password-managers







