日本儿童 服务器 家长监管与内容过滤实用设置指南

1.1 目标：确定要过滤的内容类别（成人、暴力、赌博、社交媒体）与时间段（学习/睡眠）。
1.2 设备：准备一台常开服务器或树莓派(Raspberry Pi)、家庭路由器的管理账号、孩子的所有终端设备清单（手机、平板、Switch、PC）。
1.3 备份与恢复：在改动路由器/DNS前备份配置，记录默认DNS与管理员密码。

2.1 登录路由器管理界面（常见地址 192.168.1.1 或 router.local）。
2.2 找到「家长控制」「コンテンツフィルタ」或「Access Restrictions」。启用并创建规则：指定子网或孩子设备的 MAC 地址/IP。
2.3 配置时间限制（例：禁止 22:00-07:00 上网），保存并重启路由器。

3.1 注册 OpenDNS 家庭版：signup 后在 Dashboard 添加家庭网络的公网 IP。
3.2 在路由器或服务器上设置 DNS 为 OpenDNS 家庭屏蔽地址：208.67.222.123 和 208.67.220.123（FamilyShield 预设屏蔽成年人内容）。
3.3 在 Dashboard 选择过滤级别并添加例外域名。

4.1 安装（在 Raspberry Pi 或 Debian）：在终端执行：curl -sSL https://install.pi-hole.net | bash 。
4.2 安装后设置上游 DNS 为 OpenDNS FamilyShield 或 Quad9，启用 DHCP 或在路由器上指向 Pi-hole 为主 DNS。
4.3 导入屏蔽列表（例如 StevenBlack、yoyo.org），在 Web 界面启用黑名单/白名单并开启 Query Log 以查看被拦截请求。

5.1 环境：需要一台做网关的服务器安装 pfSense。
5.2 安装 Squid（代理）和 SquidGuard（URL 过滤）包，在 Squid 中启用透明代理或强制代理，通过 ACL 指定孩子网络。
5.3 在 SquidGuard 中导入分类黑名单（porn, gambling 等），设置重定向页面和时间限制。测试浏览器是否被拦截。

6.1 在路由器/防火墙上强制所有 DNS 请求（端口 53）转发到本地 DNS（iptables 示例）：
iptables -t nat -A PREROUTING -p udp --dport 53 -j DNAT --to-destination 192.168.1.2:53
6.2 若使用 DoH/DoT，在统一网关上部署 DNS-over-HTTPS/DoT 解析并限制外部端口，或使用 Pi-hole+Cloudflared。

7.1 Android：安装 Google 家长控制（Family Link），创建孩子账户并在家长设备设置应用限制与时间表。
7.2 iOS：在「设置→屏幕使用时间」启用为孩子的设备，设置内容与隐私限制、应用限时和通信限制。
7.3 Nintendo Switch、PlayStation：使用各自的家长控制 APP，设置游戏分级限制、在线时间和通信控制。

8.1 在 Pi-hole、pfSense 或路由器上开启查询与连接日志，设置每日/每周报告。
8.2 建议设置邮件报警（如发现大量被拒绝的域名访问）或定期导出日志进行人工审查。
8.3 定期和孩子沟通过滤规则，白名单请求由家长审批。

9.1 绕过：若孩子使用手机热点或 VPN，会绕过家庭 DNS；解决方案：在移动设备上强制配置家长控制，关闭未知 VPN 安装权限。
9.2 学校设备：尊重学校网络的管理，家庭端可限制家庭时段；与学校沟通配合策略。

10.1 答：禁止或限制手机数据（キャリア回線）的使用，使用家长控制 APP（如 Family Link）强制禁止安装 VPN，或设置家长控制套餐与运营商的家长服务（日本常见的 docomo/au/softbank 均有家长控制选项）。

11.1 答：在路由器/防火墙强制重定向 53 端口到内网 DNS、禁用外部 DNS 解析端口，使用 DNS-over-TLS/HTTPS 并启用服务器登陆验证与固件更新锁定管理员密码。

12.1 答：1) 在路由器启用家长控制并限制时间；2) 将路由器 DNS 指向 OpenDNS FamilyShield 或使用 Pi-hole（预设屏蔽）；3) 在孩子设备上启用 Google 家长控制或 Apple 屏幕使用时间，三者组合即可覆盖大多数绕过手段。

来源：日本儿童 服务器 家长监管与内容过滤实用设置指南