Батьківський контроль

• У цій статті описано поширені методи обмеження доступу до Інтернету для контролю з боку батьків.
• Якщо ви використовуєте метод на основі файрволу, обов’язково застосуйте обмеження до всіх зон, з яких приходять дані.

Дивіться: Правило файрволу для блокування сайту

Якщо сервер працює на одній IP-адресі або використовує лише кілька IP, блокування цих адрес у fw3 — дуже ефективний спосіб заблокувати сайт. Це найшвидший і найефективніший спосіб блокування сайтів, який добре підтримується навіть у вебінтерфейсі. Припускаючи, що OpenWrt працює з зонами LAN і WAN, достатньо фільтра в ланцюжку FORWARD, що відхиляє пакети. Для блокування великої кількості IP-адрес певних компаній можна використовувати списки ASN. Скрипт отримуватиме всі актуальні IP-адреси, призначені певній компанії, і оновлюватиме файрвол відповідно.

Недоліки:

• Для обходу обмежень, заснованих на IP, можна використовувати інтернет-проксі або Tor.
• Динамічні хости часто змінюють IP-адреси, що знецінює чорний список.

Дивіться: Блокування реклами, Фільтрація DNS

Цей метод нівелює запити DNS, тому, наприклад, запит до www.youtube.com не поверне потрібної IP-адреси. Adblock можна використати для додавання доменів до чорного списку та запобігання повернення правильних IP-адрес DNS-сервером. Альтернативно можна налаштувати Dnsmasq для повернення відповіді NXDOMAIN на запити до небажаних доменів. Ще один варіант — використати Pi-hole у LAN і перенаправити DNS-запити через нього.

Недоліки:

• Якщо IP-адресу сервера відомо, його можна досягти напряму, без DNS.
• Обмеження легко обійти, використовуючи сторонній сайт для отримання IP-адреси або змінюючи DNS-сервер.
• Якщо у мережі кілька DNS-серверів, користувач може змінити налаштування на не фільтрований DNS і уникнути обмежень.

Обмеження доступу до вашої Wi-Fi мережі за MAC-адресами. Основна причина використання цієї функції — ситуація, коли член родини повідомляє SSID і пароль від мережі гостю, а пізніше ви більше не хочете дозволяти цій особі користуватись Wi-Fi.

Існує кілька рішень цієї проблеми, які відрізняються за складністю та ефективністю:

1. Найповніше рішення — створити гістьову Wi-Fi мережу.
2. Змінити пароль доступу до основної мережі.
3. Дозволити або заборонити доступ до LAN лише пристроям з відповідними MAC-адресами.

У цьому розділі зосередимося на останньому варіанті — використанні фільтрації за MAC-адресами в налаштуваннях бездротового інтерфейсу. Це просте рішення, яке, однак, можна обійти шляхом підміни MAC-адреси пристрою зловмисником.

1. Перейдіть до LuCI → Network → Wireless.
2. Натисніть Edit для вибраного інтерфейсу.
3. На вкладці MAC Address Filter вкажіть:
   • MAC Address Filter:
     • Дозволити лише перелічені
     • Дозволити всім, крім перелічених
   • Список MAC-адрес:
     • 11:22:33:44:55:66
     • aa:bb:cc:dd:ee:ff
4. Натисніть Save, потім Save & Apply.

# Встановити режим фільтрації: дозволити або заборонити перелічені
uci set wireless.@wifi-iface[0].macfilter="allow"
uci set wireless.@wifi-iface[0].macfilter="deny"
 
# Додати MAC-адреси до списку
uci add_list wireless.@wifi-iface[0].maclist="11:22:33:44:55:66"
uci add_list wireless.@wifi-iface[0].maclist="aa:bb:cc:dd:ee:ff"
 
# Перевірити налаштування
uci show wireless.@wifi-iface[0]
 
# Зберегти та застосувати
uci commit wireless
wifi reload

Необхідно застосувати ці налаштування для всіх бездротових інтерфейсів, доступних користувачу. Зазвичай, діапазон 5 ГГц — це @wifi-iface[0], а 2.4 ГГц — @wifi-iface[1].