03.Cloudflare Zero Trust 免费 DNS 服务器搭建

清夏晚风 Lv7
  2026-05-26 21:01:18 2026-05-26 21:01:18 Created   2026-05-29 14:43:35 2026-05-29 14:43:35 Updated      

背景

在国内上网,我们经常会遇到 DNS 污染或者官方 DNS 服务器(如 1.1.1.1)无法连接的问题。这不仅导致网页打不开,还可能带来隐私泄露的风险。

利用 Cloudflare 的 Zero Trust 服务,可以免费创建一个独享的、全球可访问的 DNS over HTTPS (DoH) 服务器。这个地址不仅独属于你,而且能有效解决官方地址被屏蔽的问题。

为什么选择这个方案?

  • 完全免费:Cloudflare 提供的这项服务对个人用户免费
  • 独享地址:你将获得一个形如 https://xxxxxx.cloudflare-gateway.com/dns-query 的专属地址,不像公共 DNS 那样拥挤
  • 抗干扰:官方的 1.1.1.1 经常被阻断,但 Cloudflare Gateway 的随机域名通常可以畅通无阻
  • 隐私安全:加密传输,防止运营商劫持和窥探

关于 DNS Locations

Cloudflare Gateway 中的 DNS locations 是一组 DNS 终结点的集合,可以映射到办公室、家庭或数据中心等物理实体。每个 DNS location 支持以下三种 DNS 解析方式:

IPv4 和 IPv6 DNS

Cloudflare 会根据你的网络自动预填源 IPv4 地址。企业用户可以使用专用 DNS 解析器 IP 地址或自带 IP(BYOIP)。

DNS over TLS (DoT)

DoT 是一种使用独立端口(853)和 TLS 加密的 DNS 流量加密标准。

DNS over HTTPS (DoH)

DoH 通过 HTTPS 协议加密 DNS 流量,防止 DNS 查询被跟踪和篡改。Gateway 要求默认 DNS 位置必须配置 DoH 端点。

操作步骤

准备工作:你需要一个 Cloudflare 账号。如果没有,请先注册一个。

第一步:进入控制面板

  1. 登录你的 Cloudflare 账号
  2. 在浏览器地址栏直接访问 Cloudflare Zero Trust 仪表盘:
    https://one.dash.cloudflare.com/

第二步:找到 DNS 位置

进入仪表盘后:

  1. 点击左侧菜单栏的 网络(Networks)
  2. 在展开的子菜单中,找到并点击 解析程序和代理(Resolvers & Proxies)
  3. 选择 DNS 位置(DNS locations)选项卡

第三步:创建或配置 DNS 位置

创建新位置:

  1. 点击 添加位置(Add a location)
  2. 为你的 DNS 位置选择一个名称(例如:MyHome)
  3. 选择至少一个 DNS 端点

配置已有位置:

  1. 点击默认的 Default Location
  2. 点击 配置 按钮

第四步:开启 DoH 并获取地址

在配置页面中:

  1. 启用 IPv6 DNS(可选):在 “DNS endpoints” 区域,找到 IPv6 DNS 并将其开关打开

  2. 开启 DoH:找到 基于 HTTPS 的 DNS (DoH) 选项,将开关设置为 。系统会自动生成一个专属的 DoH 地址,形如:

    1
    https://xxxxxxxxxx.cloudflare-gateway.com/dns-query

    请务必复制这个地址,这就是你独享的 DoH 服务器地址

  3. (可选)开启 EDNS 客户端子网:发送用户 IP 地理定位到权威 DNS 服务器,有助于减少延迟

  4. 保存设置:滚动到页面底部,点击 保存

第五步:配置源 IP 过滤(可选)

在配置过程中,可以选择开启源 IP 过滤,添加你的 IPv4/IPv6 地址进行验证。这样可以确保只有你的网络可以使用该 DNS 位置。

第六步:更改 DNS 解析器

方法 1:浏览器配置(以 Chrome 为例)

  1. 打开 Chrome 设置 → 隐私和安全 → 安全
  2. 滚动到底部,找到”使用安全 DNS”
  3. 选择 使用,并在下拉菜单中选择 自定义
  4. 粘贴你的 DoH 地址:https://你的前缀.cloudflare-gateway.com/dns-query
  5. 保存即可

方法 2:路由器配置(OpenWrt)

如果你的路由器固件支持 DoH 客户端,可以在 DNS 设置中填入上述地址,实现全家网络 DNS 无污染。

方法 3:系统配置

Windows、macOS、Linux 等操作系统均支持配置 DoH 解析器,可在网络设置中配置。

应用 DNS 策略

配置好 DNS 位置后,你可以通过 DNS 策略(DNS policies)对特定位置的 DNS 查询应用过滤规则。在创建 DNS 策略时,使用 位置选择器(Location selector)可以选择应用策略的 DNS 位置。

安全 DNS 位置

对于需要更高安全性的场景,Cloudflare 提供了安全 DNS 位置(Secure DNS locations)功能,要求:

  • IPv4 和 IPv6 端点使用 BYOIP 地址
  • 配置源网络过滤
  • DoH 端点配置源网络过滤或令牌认证

常见限制

强制门户(Captive portals)

使用静态 IP 地址部署 Gateway DNS 过滤可能会阻止用户通过强制门户连接公共 Wi-Fi。解决方案:

  1. 从设备中移除静态 IP 地址
  2. 连接到 Wi-Fi 网络
  3. 连接建立后再添加回静态 IP 地址

第三方过滤

Gateway 无法正确过滤通过第三方 VPN 或其他互联网过滤软件(如 iCloud Private Relay、Google Chrome IP Protection)的流量。建议关闭可能干扰 Gateway 的软件。

总结

通过 Cloudflare Zero Trust,你不仅拥有了一个全球可访问的独享 DNS 服务器,还完美规避了 1.1.1.1 打不开的问题。Cloudflare 强大的全球网络能保证低延迟和高可用性。

提示:如果未来该域名突然无法访问,请检查 Cloudflare 后台该设置是否被重置,重新开启即可。

参考资料:

  • Title: 03.Cloudflare Zero Trust 免费 DNS 服务器搭建
  • Author: 清夏晚风
  • Created at : 2026-05-26 21:01:18
  • Updated at : 2026-05-29 14:43:35
  • Link: https://blog.yuil.cn/2026/05/26/网络公共服务/DNS/03.Cloudflare Zero Trust 免费 DNS 服务器搭建/
  • License: This work is licensed under CC BY-NC-SA 4.0.
Comments
On this page
03.Cloudflare Zero Trust 免费 DNS 服务器搭建
  1. 背景
  2. 为什么选择这个方案?
  3. 关于 DNS Locations
    1. IPv4 和 IPv6 DNS
    2. DNS over TLS (DoT)
    3. DNS over HTTPS (DoH)
  4. 操作步骤
    1. 第一步:进入控制面板
    2. 第二步:找到 DNS 位置
    3. 第三步:创建或配置 DNS 位置
    4. 第四步:开启 DoH 并获取地址
    5. 第五步:配置源 IP 过滤(可选)
    6. 第六步:更改 DNS 解析器
  5. 应用 DNS 策略
  6. 安全 DNS 位置
  7. 常见限制
    1. 强制门户(Captive portals)
    2. 第三方过滤
  8. 总结