软路由WebRTC防泄漏：mDNS禁用扩展教程

<H1>软路由WebRTC防泄漏：mDNS禁用扩展教程</H1>

<H2>为什么代理ip用户最怕WebRTC泄漏？</H2>
很多人花大价钱买了高匿代理IP，结果一打开whatismyipaddress，本地电信地址赫然在列，心态直接崩掉。罪魁祸首就是WebRTC——浏览器为了打洞通话，会绕过代理通道，把真实IP拱手送人。软路由再稳，也架不住浏览器背后“打小报告”。所以，今天这篇“mDNS禁用扩展教程”就是给软路由玩家的一针封闭，彻底堵死泄漏。

<H2>mDNS是个啥？和WebRTC泄漏有啥关系？</H2>
mDNS（multicast DNS）简单说就是局域网里的“小广播”，设备互相喊名字就能解析IP，省去手动填网关的麻烦。WebRTC在找STUN/NAT路由时，会顺手发mDNS查询，结果把内网真实地址带出去。代理IP再匿名，也顶不住这种“内鬼”操作。软路由层面虽然能劫持53端口，但mDNS走5353/UDP，默认放行，于是泄漏悄无声息。

<H2>软路由上最干脆的封杀思路</H2>
1️⃣ 防火墙直接毙掉5353：在Shell里敲
iptables -I FORWARD -p udp --dport 5353 -j DROP
重启也生效，写进/etc/firewall.user。
2️⃣ DNSMasq追加过滤：OpenWrt的/etc/dnsmasq.conf里加一行
address=/local/0.0.0.0
把*.local解析全部沉海，让mDNS查不到有效地址。
3️⃣ 给浏览器戴“嚼子”：装“WebRTC Leak Prevent”扩展，把IP handling policy设成disable_non_proxied_udp，软路由+浏览器双保险。

<H2>旁路由也能玩：AdGuardHome一键屏蔽</H2>
如果你用旁路由方案，AdGuardHome最省事。过滤器→自定义规则里扔两行：
||^$udpport=5353
||*.local^
保存即生效，手机、电脑、电视盒子全罩住，连访客WiFi都逃不掉。记得把“DNS封锁模式”选“REFUSED”，让查询直接吃闭门羹，速度更快。

<H2>验证有没有堵死：三步自检</H2>
① 浏览器开隐私窗口，访问ip8.com，看WebRTC栏是否只显示代理IP；
② 地址栏输chrome://webrtc-internals，搜mDNS，若空空如也，说明广播被掐；
③ 回软路由看iptables计数：iptables -L -n -v | grep 5353数字狂涨，证明拦截在工作。三步全绿，才能安心上号。

<H2>常见翻车点提醒</H2>
⚠️ 只关浏览器WebRTC，没封5353，换台新设备照样漏；
⚠️ 用Clash透明代理时，记得把5353排除在tun之外，不然规则被绕；
⚠️ iOS的Safari默认走mDNS，没 jailbreak 就只能靠路由封杀，别指望扩展。

<H2>软路由+高匿代理IP才是完全体</H2>
mDNS禁用只是最后一块拼图，上游代理IP的质量才是地基：住宅ISP、低延迟、支持Socks5/HTTP双协议，才能既防泄漏又跑得飞起。把今天教程抄作业，再配合靠谱代理IP，什么跨境电商、TikTok直播、账号养号都能稳得一批。

采购代理IP请添加微信客户经理：x31471626