启用dns但未启用sniffer，对于命中代理的域名结果在用IP规则匹配

[JYbill]

• 问题：启用dns但未启用sniffer，对于命中代理的域名结果在用IP规则匹配
• 配置文件

dns:
  use-system-hosts: true
  enable: true
  ipv6: true
  use-hosts: true
  respect-rules: false
  cache-algorithm: lru
  enhanced-mode: fake-ip
  proxy-server-nameserver:
  - tls://223.5.5.5
  nameserver:
    - 114.114.114.114
  direct-nameserver:
    - 114.114.114.114
 
 rules:
   - GEOSITE,cloudflare,🤖 AI专属
   - GEOSITE,openai,🤖 AI专属
   - DOMAIN-KEYWORD,gemini,🤖 AI专属
   - GEOSITE,anthropic,🤖 AI专属
   - MATCH,🐟 漏网之鱼

• 现象：访问claude.ai，结果返回了一个real-ip，不开sniffer都用ip做的分流

- 这与dns解析规则不相符合吧，应该是根据域名匹配吧 - 不太清楚这是否是个bug，所以来讨论一下

[JYbill]

追加信息

• 代理服务器的域名

• 需要被代理的地址，claude.ai

DEBU[2025-10-19T12:22:34.012349000+08:00] [Rule] use default rules                    
// 走代理，发现代理是域名，此处命中"proxy-server-nameserver: tls://223.5.5.5"
DEBU[2025-10-19T12:22:34.013055000+08:00] [DNS] cache hit ix3udf69.epicgames.ink --> [120.241.114.104] A, expire at 2025-10-19 12:22:22 
DEBU[2025-10-19T12:22:34.013089000+08:00] [DNS] cache hit ix3udf69.epicgames.ink --> [] AAAA, expire at 2025-10-19 12:22:22 
DEBU[2025-10-19T12:22:34.013106000+08:00] [DNS] resolve ix3udf69.epicgames.ink A from tls://223.5.5.5:853 
DEBU[2025-10-19T12:22:34.013122000+08:00] [DNS] resolve ix3udf69.epicgames.ink AAAA from tls://223.5.5.5:853 
DEBU[2025-10-19T12:22:34.013283000+08:00] [TUN] Auto detect interface for 223.5.5.5 --> en0 
DEBU[2025-10-19T12:22:34.013344000+08:00] [TUN] Auto detect interface for 223.5.5.5 --> en0 
DEBU[2025-10-19T12:22:34.013356000+08:00] [TUN] Auto detect interface for 120.241.114.104 --> en0
// fake-ip 映射到真实ip "160.79.104.10"，🤔 这里触发了兜底走了"🐟 漏网之鱼"，正确触发应该与域名匹配触发"🤖 AI专属"
INFO[2025-10-19T12:22:34.070397000+08:00] [TCP] 198.18.0.1:63181(curl) --> 160.79.104.10:443 match Match using 🐟 漏网之鱼[🇭🇰 香港 01丨1x HK] 

• 为什么说根据IP匹配呢？
• 当我增加这个IP匹配时

rules:
- IP-CIDR,160.79.104.10/32,🤖 AI专属

// 日志输出fake-ip匹配就变成了
INFO[2025-10-19T12:40:47.398979000+08:00] [TCP] 198.18.0.1:52771 --> claude.ai:443 match IPCIDR(160.79.104.10/32) using 🤖 AI专属[🇯🇵 日本 05丨3x JP] 

• 而且很困惑的是，有些匹配规则就能命中

DEBU[2025-10-19T13:07:30.840124+08:00] [Rule] use default rules                     
DEBU[2025-10-19T13:07:30.841043+08:00] [DNS] cache hit ix3udf69.epicgames.ink --> [120.241.114.104] A, expire at 2025-10-19 13:07:31 
DEBU[2025-10-19T13:07:30.84106+08:00] [DNS] cache hit ix3udf69.epicgames.ink --> [] AAAA, expire at 2025-10-19 13:07:30 
DEBU[2025-10-19T13:07:30.841186+08:00] [DNS] resolve ix3udf69.epicgames.ink AAAA from tls://223.5.5.5:853 
// 这里就是正确的，根据fake-ip匹配到正确的规则
INFO[2025-10-19T13:07:30.890523+08:00] [TCP] 198.18.0.1:62176(Code Helper) --> vscode-sync.trafficmanager.net:443 match RuleSet(proxy) using ♻️ 手动切换[🇭🇰 香港 01丨1x HK] 

[JYbill]

• 经过一上午的排查，发现是chrome设置的不正确问题
• 问题：关闭"chrome 安全DNS"，即不要让chrome发起DOT/DOH等流量。这样会导致clash会捕获这些流量并返回真实IP给浏览器，此时fake-ip功能即会失效（只有开启sniffer TLS sni字段的嗅探才能使用域名规则分流），也就是后续都是根据IP规则来匹配
• 关闭该设置

• 现在的fake-ip就会很正常

🤔 为什么上面说到有的匹配规则能命中域名匹配呢?
📢 当然是脱离了chrome范围的软件，那个域名对应vscode app😄