История изменений
Исправление anc, (текущая версия) :
1. ipset -N DROPSET hash:ip family inet
2. dnsmasq.conf добавить строкуipset=/youtube.com/DROPSET Доменов можно перечилять много, например ipset=/youtube.com/yandex.ru/google.com/DROPSET
3. iptables -I FORWARD -i br-lan -m mac --mac-source 98:12:80:34:84:56 -m set --match-set DROPSET dst -j DROP Только лучше не DROP а REJECT
Общий смысл такой.
1. Мы создаем ipset с названием DROPSET.
2. dnsmasq при запросе резолва доменов(и всех поддоменов) прописанных в параметре ipset добавляет их ip адреса в этот set. Просмотреть добавленные можно используя ipset -L DROPSET
3. А дальше используя модуль set iptables можно уже делать все что вам хочется.
PS И я бы еще добавил правило перенаправляющее dns запросы на ваш dns
iptables -t nat -I PREROUTING -p udp --dport 53 -j DNAT --to-destination $IPDNSMASQ:53
iptables -t nat -I PREROUTING -p tcp --dport 53 -j DNAT --to-destination $IPDNSMASQ:53
Это тоже не сильно спасет от детей, но хотя бы самый очевидный вариант не будет работать.
Исправление anc, :
1. ipset -N DROPSET hash:ip family inet
2. dnsmasq.conf добавить строкуipset=/youtube.com/DROPSET Доменов можно перечилять много, например ipset=/youtube.com/yandex.ru/google.com/DROPSET
3. iptables -I FORWARD -i br-lan -m mac --mac-source 98:12:80:34:84:56 -m set --match-set DROPSET dst -j DROP Только лучше не DROP а REJECT
Общий смысл такой.
1. Мы создаем ipset с названием DROPSET.
2. dnsmasq при запросе резолва доменов(и всех поддоменов) прописанных в параметре ipset добавляет их ip адреса в этот set. Просмотреть добавленные можно используя ipset -L DROPSET
3. А дальше используя модуль set iptables можно уже делать все что вам хочется.
PS И я бы еще добавил правило перенаправляющее dns запросы на ваш dns
iptables -t nat -I PREROUTING -p udp --dport 53 -j DNAT --to-destination $IPDNSMASQ:53
iptables -t nat -I PREROUTING -p tcp --dport 53 -j DNAT --to-destination $IPDNSMASQ:53
Это тоже не сильно спасет от детей, но хотя бы самый очевидный вариант будет не работать.
Исправление anc, :
1. ipset -N DROPSET hash:ip family inet
2. dnsmasq.conf добавить строкуipset=/youtube.com/DROPSET Доменов можно перечилять много, например ipset=/youtube.com/yandex.ru/google.com/DROPSET
3. iptables -I FORWARD -i br-lan -m mac --mac-source 98:12:80:34:84:56 -m set --match-set DROPSET dst -j DROP Только лучше не DROP а REJECT
Общий смысл такой.
1. Мы создаем ipset с названием DROPSET.
2. dnsmasq при запросе резолва доменов(и всех поддоменов) прописанных в параметре ipset добавляет их ip адреса в этот set. Просмотреть добавленные можно используя ipset -L DROPSET
3. А дальше используя модуль set iptables можно уже делать все что вам хочется.
Исходная версия anc, :
1. ipset -N DROPSET hash:ip family inet
2. dnsmasq.conf добавить строкуipset=/youtube.com/DROPSET Доменов можно перечилять много, например ipset=/youtube.com/yandex.ru/google.com/DROPSET
3. iptables -I FORWARD -i br-lan -m mac --mac-source 98:12:80:34:84:56 -m set --match-set DROPSET dst -j DROP Только лучше не DROP а REJECT