还儿童健康上网环境，正式开启我的路由器URL网址白名单之旅

neqee

URL黑名单总会有漏洞，而且还有个不好的地方是会诱惑小孩花大量时间和精力去不停的尝试。
唯有URL白名单才能彻底解决烦恼！
就像很多大人一样，很多事情唯有让他撞了南墙，彻底死心了才愿放弃！
当然如果能做的到对小孩正确引导是最好也是最省心的！

在建立URL白名单这个事情上，因为不了解路由器，所以我走了很多弯路，花费了大量的时间精力和金钱。
前后尝试过华硕RT-AC1900P、华为荣耀pro2、斐讯K2P、TP-LINK企业无线路由器 TL-WAR1200L以及软路由openwrt都不是很合适。

最后才找到最佳方案：
TP-LINK企业路由器 TL-R483G(4.0版本)/TL-R473G(3.0版本) + 无线路由器设为AP工作模式(基本所有的无线路由器都可以设为AP模式？)

路由器AP模式的意思是只是充当一个无线发射，无路由和设备管理功能也就相当于是直通的，所以所有的连接设备都是由主路由器管理的。所以随便选？我推荐华硕带USB3.0口，比如华硕的RT-AC68U或RT-AC1900P就很好用。

这样可以插个优盘或移动硬盘在上面开启Samba局域网共享，可以拷贝些资料、视频或歌曲给小孩用。
可以连局域网的本地播放器有很多，推荐oplayer或ever play(苹果)。
如果是ever play的话还可以通过网络自动匹配歌词，非常好！如果用华硕路由器，最好用3.0.0.4.384.81351或以下版本的旧固件，否则ever play有bug认不到优盘。

windows10开启局域网共享，我的是企业版，重要的两点：
(1)勾选“ SMB 1.0/CIFS 文件共享支持”
(2)win+R运行gpedit.msc：计算机配置-管理模板-网络-Lanman工作站-启用不安全的来宾登录-修改为“已启用”(这点花了我大量的时间，kao！)。

为什么不用一个TP-LINK企业无线路由器搞定，非要用有线的多加一个AP？因为无线的不带安全审计(上网行为)功能，有线的才有。
这样当你添加一个网站或应用白名单时，就会知道哪些必须的域名被阻止了，从而复制添加到白名单里面去。这个叫TP-LINK安全审计系统 1.3.2，很实时非常好用。

也就是这个路由器需要具备两个功能：(1)企业路由器才会有的完善上网行为管理。(2)上网行为监视，当然我们不是真正想监视，而是想利用这个功能方便把被阻止的有用网址添加回URL白名单里面。

TL-R483G为什么要用4.0版本？因为在TP-LINK安全审计系统 1.3.2下载页有列出支持的设备。但我知道R483G/R473G低版本的也能更新到最新的固件，所以推测也可能会支持，而我只用过TL-R483G(4.0版本)。

利用R483G的ARP防护做MAC过滤防止被蹭网。
把所有你已经连接路由器的设备的IP和MAC绑定好，勾选"禁止非IP-MAC绑定的数据包通过路由器"。然后"添加到静态地址分配列表"。也就是说这些设备要连路由器，路由器会给它们分配一个固定的IP地址。
为什么不直接用MAC地址过滤来做？我没试过，因为我觉得这样会更方便。

很多设置方法在TP-LINK的官网都可以找到：
在地址管理里面将要启用白名单的设备的IP地址，分配成单独一个IP组。
在网站分组里面把白名单的域名列表分组做好。
在网站访问里面创建访问规则，把这些白名单网址指定给这个IP组并允许访问。注意最后还要加一条：“这个IP组”禁止访问所有网站，并且把“记录到系统日志”打钩。
在行为审计里面打钩“上传用户上网行为”，并填上你操作的那台电脑的IP地址，用于分析被阻止但又是必须的网址。
我是把云管理和AP管理关闭的，因为我还不会用。
打开TP-LINK安全审计系统，运行并能成功连接路由器之后是用浏览器打开界面的。点路由审计日记就能看到被阻止的网址(如果有的话)。
点数据库管理和备份中的清空数据库能清除所有以前的日记。
在系统工具.设备管理.备份与导入配置里面将你的路由器设置备份好。
暂时想到这些，如还有其他再补充。

下面附上我初步做的白名单URL列表，还很少，并且apple、微信、钉钉很多功能因为域名被阻止可能不能用。但不要紧，因为我们已经把平台和基础搭建好，想完善和添加是分分钟的事！

--apple:
apple.com
*.apple.com
*.apple.cn
*.icloud.com
*.icloud.com.cn
*.apple-dns.net
lcdn-locator.apple.com
ocsp2.apple.com
gateway.icloud.com
gateway.icloud.com.cn
pancake.apple.com
inappcheck.itunes.apple.com
gspe79-ssl.ls.apple.com
gs-loc-cn.apple.com
amp-api-edge.apps.apple.com
inappcheck.itunes.apple.com
guzzoni.apple.com
pds.ess.apple.com
gsa.apple.com
gspe21-ssl.ls.apple.com
gspe35-ssl.ls.apple.com
init.push.apple.com
configuration.ls.apple.com
courier.push.apple.com
guzzoni-apple-com.v.aaplimg.com
probe-edge.v.aaplimg.com
time.g.aaplimg.com
gsp64-ssl.ls-apple.com.akadns.net


--weixin:
dldir1v6.qq.com
szextshort.weixin.qq.com
szminorshort.weixin.qq.com
szshort.weixin.qq.com
wx.qlogo.cn
res.wx.qq.com
wxapp.tc.qq.com
szshort.mixpay.wechatpay.cn
szshort.pay.weixin.qq.com
wx.gtimg.com
gtimg.wechatpay.cn
resstatic.servicewechat.com
res.servicewechat.com
t.captcha.qq.com
weixinconf.qq.com
extshort.weixin.qq.com
ssl.captcha.qq.com
support.weixin.qq.com
shminorshort.weixin.qq.com
short.weixin.qq.com
mlminorshort.weixin.qq.com
dns.weixin.qq.com.cn
safebrowsing.urlsec.qq.com
szshort.snspay.wechatpay.cn


--dingding:
h-adashx.ut.dingtalk.com
img.alicdn.com
space.dingtalk.com
zjk.preview.dingtalk.com
lippi-preview-wps.cn-zhangjiakou.log.aliyuncs.com
csp.dingtalk.com
sz.preview.dingtalk.com
dingtalk-cspase-sz.oss-cn-shenzhen.aliyuncs.com
s-gm.mmstat.com
g.alicdn.com
preview-lippi-space-zjk.oss-cn-zhangjiakou.aliyuncs.com
cdn-zjk-trans.dingtalk.com
dorangesource.alicdn.com
alimei-api.aliyun.com
minipkg.dingtalk.com
adash.man.aliyuncs.com
resolver.dingtalk.com
static.dingtalk.com
adash.man.aliyuncs.com
gw.alicdn.com
dtliving-sh.dingtalk.com
dtlive-bj.oss-cn-beijing.aliyuncs.com
dtlive-sz.oss-cn-shenzhen.aliyuncs.com
dtlive-sh.oss-cn-shanghai.aliyuncs.com
dtliving-bj.dingtalk.com
dtliving-sz.dingtalk.com
*.mmstat.com
*.aliyuncs.com
*.alicdn.com


--ever play:
c.y.qq.com
lyrics.kugou.com
u.y.qq.com


--科普：
*.syzx-edu.com
*.cdstm.cn
*.kepuchina.cn


--图书：
*.winxuan.com
*.winxuancdn.com

vtte

闲鱼三四百元可以买个二手深信服，把硬盘拆下来挂到linux机器上，改几个脚本就可以离线升级最新库。
这样可以得到一台近乎完美的上网行为管理器。

dog

有没有黑名单列表啊？我想要

neqee

dog 发表于 2023-2-5 16:40
有没有黑名单列表啊？我想要
(引用自3楼)

肯定有啊，我大概看了下黑名单数据库还是很全的。还有很多应用软件管控。

thepresent

vtte 发表于 2023-2-5 15:37
闲鱼三四百元可以买个二手深信服，把硬盘拆下来挂到linux机器上，改几个脚本就可以离线升级最新库。
这样可 ...
(引用自2楼)

感兴趣，有操作教程吗？谢谢

vtte

没教程，离线升级时的授权验证就在一个CGI脚本里，手动改下就能绕过去。

dz20062008

neqee 发表于 2023-2-5 17:57
肯定有啊，我大概看了下应该很全的。还有很多应用软件管控。
(引用自4楼)

华硕路由器app不是有家庭分组防火墙功能吗？我的就有但是我没有试试，里面有内容分级与作息管理。

boycn

爱快路由器 也有这类功能

wyn20007

上网行为

neqee

dz20062008 发表于 2023-2-5 18:22
华硕路由器app不是有家庭分组防火墙功能吗？我的就有但是我没有试试，里面有内容分级与作息管理。 ...
(引用自7楼)

可能是因为我用的1900P没有后来的新版本固件。
我那个防火墙里面的网址过滤有白名单，但最多只能加64条，况且我那个只能一条一条添加网址还有类似的管理都很麻烦的。
也不能将连接设备分组指定不同限制规则，只能全局限制，可能新版固件有吧。
而且最最重要的访问行为记录更新的实时性太差，可能要几分钟。因为有时候需要及时分析将被阻止但又是必须的网址添加回白名单，所以无法使用。

chunjiu

处理黑名单也应该是比较简单的事情，在 DNS （hosts 文件）里面给它们指定一个特定的 IP （废 IP 或警告页面）就行了。

tjagen

大佬，请教一下小朋友玩微信里的小游戏怎么控制或者禁用？

redworlf007

tjagen 发表于 2023-2-5 21:29
大佬，请教一下小朋友玩微信里的小游戏怎么控制或者禁用？
(引用自12楼)

把微信卸载掉。

tjagen

redworlf007 发表于 2023-2-5 21:30
把微信卸载掉。
(引用自13楼)

用的是爷爷、奶奶的手机。。。

lb0857

一个邻居家的wifi让你辛苦白付出。

neqee

tjagen 发表于 2023-2-5 21:29
大佬，请教一下小朋友玩微信里的小游戏怎么控制或者禁用？
(引用自12楼)

开启微信的青少年模式不就可以么？而且青少年模式的密码是独立的，用手机号码也无法重置。

neqee

lb0857 发表于 2023-2-5 21:46
一个邻居家的wifi让你辛苦白付出。
(引用自15楼)

??我也想到这层，还好我们家附近没有用手机认证就可以连接的wifi，而所有附近wifi都是有密码的。虽然找个小工具就能轻易破解，但因为是网址白名单小孩没法搞到这些小工具啊。

lb0857

不用小看孩子的网络知识，万能钥匙就是一个突破口，看见你这几天神秘兮兮的，言语之间透露出点点滴滴信息，有可能早就有准备啦，你有二套方案，他们有五套预备策论。

redworlf007

tjagen 发表于 2023-2-5 21:45
用的是爷爷、奶奶的手机。。。
(引用自14楼)

分开住。。。

Joshua_Astray

搞这些不如用其他健康的爱好分散孩子注意力，例如各类积木，如果不买乐高，买乐高兼容件，更加便宜实惠；或者教孩子一起搞电子制作，一起做一辆遥控车之类的

liurangzhou

万一被发现了这个秘密，不愿意呆在家里玩了

startwar0418

小朋友找bug的能力是无敌的，比公司的测试人员强。
给他点时间肯定能搞定

dz20062008

startwar0418 发表于 2023-2-6 18:10
小朋友找bug的能力是无敌的，比公司的测试人员强。
给他点时间肯定能搞定 ...
(引用自22楼)

直接用楼主手机玩就可以了

neqee

我发现小孩刚才又偷偷的在我电脑上安装了这个，我试了下是可以的，我吐血了！

Franso

vtte 发表于 2023-2-5 15:37
闲鱼三四百元可以买个二手深信服，把硬盘拆下来挂到linux机器上，改几个脚本就可以离线升级最新库。
这样可 ...
(引用自2楼)

把硬盘拆下来，放普通台式机上能启动么

vtte

Franso 发表于 2023-2-20 18:56
把硬盘拆下来，放普通台式机上能启动么
(引用自25楼)

我的意思是把硬盘拆下来挂台式机上读取和修改里面的文件，改好后还要装回原机的。

Franso

vtte 发表于 2023-2-20 19:59
我的意思是把硬盘拆下来挂台式机上读取和修改里面的文件，改好后还要装回原机的。 ...
(引用自26楼)

深信服设备用的是sata口的固态盘么

vtte

Franso 发表于 2023-2-21 00:38
深信服设备用的是sata口的固态盘么
(引用自27楼)

最早期是CF卡和IDE的硬盘，后来就用了SATA的硬盘，现在最新的不清楚，没有拆过了。

初音之恋

不能上网就戳复位孔

Franso

vtte 发表于 2023-2-21 10:12
最早期是CF卡和IDE的硬盘，后来就用了SATA的硬盘，现在最新的不清楚，没有拆过了。 ...
(引用自28楼)

你用的哪款深信服，可否分享一下呢

mndsoft2012

这下深深理解了国家为啥要花大力气建设 长城防火墙

jiaxianglhh

这个不错，微信里面的视频号能屏蔽吗