VPN 本来有 DNS 防污染功能，但最近几天失效了，问题已经解决。原因有两个：

1. 出国隧道启用负载均衡后，源自本地的流量不再走隧道。原来的 DNS recursor 的 resolver 中除了隧道对面服务器上装的 DNS recursor 外，还有 8.8.8.8，以明文方式访问 8.8.8.8 UDP 53 的流量可能被污染。现在把 8.8.8.8 从 resolver 列表中移除。
2. 为加速 Google，google.com 的部分域名解析到其大陆数据中心的代理服务器。google.com 在 bind9 中配置成由本地的 dnsmasq 解析，dnsmasq 又读取 hosts 文件，不在 hosts 中的通过上游 DNS 解析，而 dnsmasq 的上游 DNS 是学校官方 DNS。www.youtube.com 是 CNAME 到 youtube-ui.l.google.com，这由 dnsmasq 解析，从而被污染。现在把 dnsmasq 的 resolver 也设置成隧道对面的 DNS recursor。