如何在OpenWrt中设置网址屏蔽？

一、OpenWrt中实现网址屏蔽的背景与基础概念

在家庭或企业网络环境中，常常需要对某些特定网站进行屏蔽，例如广告、社交平台、游戏网站等。OpenWrt作为一个功能强大的嵌入式Linux系统，提供了多种灵活的网络控制手段，其中网址屏蔽是其常见应用之一。

网址屏蔽的核心原理是通过DNS解析拦截目标域名，将其解析为无效IP地址（如127.0.0.1），从而阻止访问。常见的实现方式包括：

• 使用dnsmasq进行基础域名屏蔽
• 结合ipset实现更高效的批量域名屏蔽
• 部署AdGuard Home作为独立DNS过滤服务
• 通过Luci界面配置屏蔽规则

二、基础配置：使用dnsmasq实现简单网址屏蔽

dnsmasq是OpenWrt默认的DNS转发服务，可以通过修改其配置文件来实现简单的域名屏蔽。

1. 登录OpenWrt的SSH终端
2. 编辑配置文件：vi /etc/dnsmasq.conf
3. 添加如下行来屏蔽指定域名：

address=/example.com/127.0.0.1
address=/badwebsite.com/0.0.0.0

1. 重启dnsmasq服务：/etc/init.d/dnsmasq restart

此方法适用于少量域名的屏蔽需求，但管理大量规则时效率较低。

三、进阶配置：dnsmasq + ipset 实现高效批量屏蔽

当需要屏蔽大量网站时，推荐使用ipset结合dnsmasq的方式，提升性能与可维护性。

1. 安装dnsmasq-full与ipset模块：

opkg update
opkg install dnsmasq-full ipset

1. 创建ipset集合：

ipset create blocked_domains hash:ip

1. 修改dnsmasq配置文件，添加：

ipset=/example.com/blocked_domains

1. 添加防火墙规则丢弃匹配ipset的流量：

iptables -I FORWARD -m set --match-set blocked_domains dst -j DROP

1. 重启服务并测试效果：

/etc/init.d/dnsmasq restart

四、图形界面配置：通过Luci实现网址屏蔽

对于偏好图形界面操作的用户，OpenWrt的Luci界面也支持部分屏蔽功能。

1. 登录Luci界面（默认地址：http://192.168.1.1）
2. 进入 Network → DHCP and DNS 页面
3. 在 General Settings 中，找到 Additional DNS Options 配置区域
4. 输入如下格式的屏蔽规则：

address=/blocked-site.com/127.0.0.1

1. 点击“Save & Apply”保存并应用配置

五、高级方案：部署AdGuard Home作为DNS过滤服务器

AdGuard Home是一个功能强大的本地DNS服务器，支持广告过滤、隐私保护和家长控制，适合对屏蔽规则有较高要求的用户。

1. 在OpenWrt上安装AdGuard Home：

opkg install adguardhome

1. 配置AdGuard Home的过滤规则文件（支持远程订阅）
2. 设置OpenWrt的DNS为AdGuard Home监听地址（如127.0.0.1:53）
3. 通过Web界面管理过滤列表和自定义规则

六、屏蔽不生效的常见问题排查流程

graph TD A[开始] --> B{是否修改了dnsmasq配置?} B -->|否| C[检查配置文件路径是否正确] B -->|是| D{是否重启了dnsmasq服务？} D -->|否| E[重启服务：/etc/init.d/dnsmasq restart] D -->|是| F{是否使用了其他DNS服务器？} F -->|是| G[修改为使用本地dnsmasq解析] F -->|否| H[检查防火墙规则是否放行DNS流量] H --> I{是否使用ipset规则？} I -->|是| J[检查iptables是否匹配ipset规则] I -->|否| K[确认屏蔽域名是否正确] K --> L[结束]

七、屏蔽规则的维护与更新策略

为了保持屏蔽效果的持续性，建议定期更新屏蔽规则。可以采用以下策略：

策略	说明
手动更新	适用于规则较少或变化频率低的场景
脚本自动下载更新	定期从GitHub等源获取最新屏蔽列表并导入配置
AdGuard Home远程订阅	通过URL订阅广告过滤列表，自动更新规则