Openwrt家庭防火墙控制规则

随着电子设备越来越多，小朋友基本会沉迷在电子设备中，影响学习。家中有小朋友的家长肯定都希望有节制的看视频、玩游戏等。Openwrt提供了防火墙功能，我们可以利用iptables防火墙来限制域名或时间等。Openwrt中打开”防火墙 – 自定义规则”填入相应iptables规则，重启防火墙即可生效。

这里分享几个iptables命令，用来控制终端电子设备。
iptables可以对mac地址或ip地址进行控制，也就是你首先要知道被控制终端的mac地址或ip地址。可以在Openwrt”网络” – “DHCP/DNS” – “基本设置”-“已分配的 DHCP 租约”处查看。

一、屏蔽网站域名或url

这里没有使用全局控制，只对个别终端进行控制。要全局控制无需使用防火墙规则，使用”广告屏蔽大师 Plus+” – “域名黑名单”即可。

iptables -I FORWARD -m mac --mac-source 6f:6c:79:59:34:9a -m string --string "iqiyi" --algo bm -j DROP

要使得这条规则生效,你的Openwrt需安装有 iptables-mod-filter 模块，默认是没有的。
其中6f:6c:79:59:34:9a是终端Mac地址，”iqiyi”是含有iqiyi的URL字段。这样只要访问带有iqiyi字段的url链接就无法访问。

用ip地址控制命令是：

iptables -I FORWARD -s 192.168.1.226 -m string --string "iqiyi" --algo bm -j DROP

二、定时断网

mac地址定时断网

iptables -I FORWARD  -m mac --mac-source ef:da:5c:bc:b0:94 -m time --kerneltz --timestart 21:08 --timestop 23:55 -j DROP

这样MAC地址为ef:da:5c:bc:b0:94 在21点08分至23点55分不能上网。小孩只能乖乖睡觉了。
ip地址定时断网

iptables -I FORWARD -d 192.168.1.208  -m time --kerneltz --timestart 21:58 --timestop 23:55 -j DROP

带星期控制

iptables -I FORWARD  -m mac --mac-source 80:ad:16:71:82:1f -m time --weekdays Sun,Mon,Tue,Wed,Thu,Fri,Sat --timestart 15:30 --timestop 19:00 --kerneltz -j DROP

原理同上。

三、封锁IP

iptables -I INPUT -s 222.184.110.82 -j DROP

屏蔽所有终端设备与222.184.110.82这个ip地址的通信。

四、屏蔽ip端口

iptables -I INPUT -p tcp –dport 83 -s 124.115.1.2 -j DROP

屏蔽了ip地址124.115.1.2的83端口通信，这对屏蔽一些游戏有效。需udp屏蔽把tcp改为udp。

五、防止被破解

以上规则都是根据mac地址或ip地址进行控制的，聪明的小朋友破解掉很轻松，只要改变ip或mac地址上述规则就失效了。我们只需要将MAC地址和IP地址绑定，建立白名单，这样乱改ip和mac就无法上网了。
方法见Openwrt家庭防火墙控制规则

以上用ip地址屏蔽的还可以对网段屏蔽，如写成：124.115.0.0/24  这样就代表124.115.0.1-124.115.0.254之间的所有ip。规则如果不生效有可能是“Turbo ACC 网络加速”的原因，需要关闭掉”软件流量分解”；另外如果路由器上有科学上网软件，对国外域名和ip可能也不生效。主要是因为科学上网软件劫持了流量，需要在科学上网软件里面进行相关设置。