还儿童一个健康上网环境,正式开启我的路由器URL网址白名单之旅
本帖最后由 guilcd 于 2023-2-5 15:27 编辑URL黑名单总会有漏洞,而且还有个不好的地方是会诱惑小孩花大量时间和精力去不停的尝试。
唯有URL白名单才能彻底解决烦恼!
就像很多大人一样,很多事情唯有让他撞了南墙,彻底死心了才愿放弃!
当然如果能做的到对小孩正确引导是最好也是最省心的!
在建立URL白名单这个事情上,因为不了解路由器,所以我走了很多弯路,花费了大量的时间精力和金钱。
前后尝试过华硕RT-AC1900P、华为荣耀pro2、斐讯K2P、TP-LINK企业无线路由器 TL-WAR1200L以及软路由openwrt都不是很合适。
最后才找到最佳方案:
TP-LINK企业路由器 TL-R483G(4.0版本)/TL-R473G(3.0版本) + 无线路由器设为AP工作模式(基本所有的无线路由器都可以设为AP模式?)
路由器AP模式的意思是只是充当一个无线发射,无路由和设备管理功能也就相当于是直通的,所以所有的连接设备都是由主路由器管理的。所以随便选?我推荐华硕带USB3.0口,比如华硕的RT-AC68U或RT-AC1900P就很好用。
这样可以插个优盘或移动硬盘在上面开启Samba局域网共享,可以拷贝些资料、视频或歌曲给小孩用。
可以连局域网的本地播放器有很多,推荐oplayer或ever play(苹果)。
如果是ever play的话还可以通过网络自动匹配歌词,非常好!如果用华硕路由器,最好用3.0.0.4.384.81351或以下版本的旧固件,否则ever play有bug认不到优盘。
windows10开启局域网共享,我的是企业版,重要的两点:
(1)勾选“ SMB 1.0/CIFS 文件共享支持”
(2)win+R运行gpedit.msc:计算机配置-管理模板-网络-Lanman工作站-启用不安全的来宾登录-修改为“已启用”(这点花了我大量的时间,kao!)。
为什么不用一个TP-LINK企业无线路由器搞定,非要用有线的多加一个AP?因为无线的不带安全审计(上网行为)功能,有线的才有。
这样当你添加一个网站或应用白名单时,就会知道哪些必须的域名被阻止了,从而复制添加到白名单里面去。这个叫TP-LINK安全审计系统 1.3.2,很实时非常好用。
也就是这个路由器需要具备两个功能:(1)企业路由器才会有的完善上网行为管理。(2)上网行为监视,当然我们不是真正想监视,而是想利用这个功能方便把被阻止的有用网址添加回URL白名单里面。
TL-R483G为什么要用4.0版本?因为在TP-LINK安全审计系统 1.3.2下载页有列出支持的设备。但我知道R483G/R473G低版本的也能更新到最新的固件,所以推测也可能会支持,而我只用过TL-R483G(4.0版本)。
利用R483G的ARP防护做MAC过滤防止被蹭网。
把所有你已经连接路由器的设备的IP和MAC绑定好,勾选"禁止非IP-MAC绑定的数据包通过路由器"。然后"添加到静态地址分配列表"。也就是说这些设备要连路由器,路由器会给它们分配一个固定的IP地址。
为什么不直接用MAC地址过滤来做?我没试过,因为我觉得这样会更方便。
很多设置方法在TP-LINK的官网都可以找到:
在地址管理里面将要启用白名单的设备的IP地址,分配成单独一个IP组。
在网站分组里面把白名单的域名列表分组做好。
在网站访问里面创建访问规则,把这些白名单网址指定给这个IP组并允许访问。注意最后还要加一条:“这个IP组”禁止访问所有网站,并且把“记录到系统日志”打钩。
在行为审计里面打钩“上传用户上网行为”,并填上你操作的那台电脑的IP地址,用于分析被阻止但又是必须的网址。
我是把云管理和AP管理关闭的,因为我还不会用。
打开TP-LINK安全审计系统,运行并能成功连接路由器之后是用浏览器打开界面的。点路由审计日记就能看到被阻止的网址(如果有的话)。
点数据库管理和备份中的清空数据库能清除所有以前的日记。
在系统工具.设备管理.备份与导入配置里面将你的路由器设置备份好。
暂时想到这些,如还有其他再补充。
下面附上我初步做的白名单URL列表,还很少,并且apple、微信、钉钉很多功能因为域名被阻止可能不能用。但不要紧,因为我们已经把平台和基础搭建好,想完善和添加是严禁赌博钟的事!
--apple:
apple.com
*.apple.com
*.apple.cn
*.icloud.com
*.icloud.com.cn
*.apple-dns.net
lcdn-locator.apple.com
ocsp2.apple.com
gateway.icloud.com
gateway.icloud.com.cn
pancake.apple.com
inappcheck.itunes.apple.com
gspe79-ssl.ls.apple.com
gs-loc-cn.apple.com
amp-api-edge.apps.apple.com
inappcheck.itunes.apple.com
guzzoni.apple.com
pds.ess.apple.com
gsa.apple.com
gspe21-ssl.ls.apple.com
gspe35-ssl.ls.apple.com
init.push.apple.com
configuration.ls.apple.com
courier.push.apple.com
guzzoni-apple-com.v.aaplimg.com
probe-edge.v.aaplimg.com
time.g.aaplimg.com
gsp64-ssl.ls-apple.com.akadns.net
--weixin:
dldir1v6.qq.com
szextshort.weixin.qq.com
szminorshort.weixin.qq.com
szshort.weixin.qq.com
wx.qlogo.cn
res.wx.qq.com
wxapp.tc.qq.com
szshort.mixpay.wechatpay.cn
szshort.pay.weixin.qq.com
wx.gtimg.com
gtimg.wechatpay.cn
resstatic.servicewechat.com
res.servicewechat.com
t.captcha.qq.com
weixinconf.qq.com
extshort.weixin.qq.com
ssl.captcha.qq.com
support.weixin.qq.com
shminorshort.weixin.qq.com
short.weixin.qq.com
mlminorshort.weixin.qq.com
dns.weixin.qq.com.cn
safebrowsing.urlsec.qq.com
szshort.snspay.wechatpay.cn
--dingding:
h-adashx.ut.dingtalk.com
img.alicdn.com
space.dingtalk.com
zjk.preview.dingtalk.com
lippi-preview-wps.cn-zhangjiakou.log.aliyuncs.com
csp.dingtalk.com
sz.preview.dingtalk.com
dingtalk-cspase-sz.oss-cn-shenzhen.aliyuncs.com
s-gm.mmstat.com
g.alicdn.com
preview-lippi-space-zjk.oss-cn-zhangjiakou.aliyuncs.com
cdn-zjk-trans.dingtalk.com
dorangesource.alicdn.com
alimei-api.aliyun.com
minipkg.dingtalk.com
adash.man.aliyuncs.com
resolver.dingtalk.com
static.dingtalk.com
adash.man.aliyuncs.com
gw.alicdn.com
dtliving-sh.dingtalk.com
dtlive-bj.oss-cn-beijing.aliyuncs.com
dtlive-sz.oss-cn-shenzhen.aliyuncs.com
dtlive-sh.oss-cn-shanghai.aliyuncs.com
dtliving-bj.dingtalk.com
dtliving-sz.dingtalk.com
*.mmstat.com
*.aliyuncs.com
*.alicdn.com
--ever play:
c.y.qq.com
lyrics.kugou.com
u.y.qq.com
--科普:
*.syzx-edu.com
*.cdstm.cn
*.kepuchina.cn
--图书:
*.winxuan.com
*.winxuancdn.com
谢谢分享 本帖最后由 lcmsky 于 2023-2-6 13:00 编辑
其实效果不怎么好,而且现阶段ipv6还无法控制,感觉TP的轻舟系列路由器自带的那个上网控制功能还挺好的。就是可以控制的内容类不怎么精细,不能自行添加限制内容,要是可以增加自定义就很好了。控制小孩玩手机最理想的还是控制时长,还有就是可以设定使用多久然后暂停多久这些可以设置。 op 有应用过滤的插件 谢谢分享 期待更新... 自家网络还搞这么严的限制,简直就是GFW的加强版呀,直接把网络断了得了 有没有禁云视听小电视啊? 有没有禁云视听小电视啊? ipad+屏幕时间了解一下~
cjchome 发表于 2023-2-7 21:19
自家网络还搞这么严的限制,简直就是GFW的加强版呀,直接把网络断了得了
确实,堵不如疏,这样搞说不定小孩在外面看黄片看得飞起 这不应该去试试爱快系统吗功能强大多了 本帖最后由 无所不尽其极 于 2023-2-10 08:40 编辑
我是用华硕自带的,效果还可以吧!记得把ipv6关了(光猫那边也关了)
控制孩子上网的问题,我也很纠结。TP、锐捷各种小型企业有线路由器胡乱试,都差不多。我都是在路由器系统内置的黑名单基础上进行修改的,发现合理用途上不去了,删减,发现不合理用途上去了,增加。不过提醒一下,TP的同型号不同版本硬件是有差异的,是不可能通过固件升级实现相同的功能的。最近跟小孩谈了一下,所有在用APP,能注册未成年人账号的都注册他自己的实名账号,可以关闭黑名单,但上网行为审计还需要存档,方便家长监督。 你这限制太严了了,都能影响到工作了:dizzy: 以前华为路由器的儿童上网模式和ipad的时间控制都不是很理想,特别是时间控制对于较小小孩最好别用,应用疏导不好会导致整天挂念着和想着玩的东西,受到这种心理影响会慢慢沉迷其中,而且是长大了才会发现。
页:
[1]
2