Блокировка сайта/определенной страницы OpenWRT LEDE LuCI

Межсетевой экран работает на уровне ip-адресов, а не URL, всякие L7-фильтры плохо подходят для фильтрации страниц. Правильнее делать то, что вы хотите через прокси, почитайте про privoxy.

Хорошо, как можно заблокировать? Есть что-то такое, не особо сложное, чтобы не сильно пришлось возится?

Либо ставите privoxy, вроде у него был какой-то конфигуратор через LuCI, либо блокируете ip-адреса сайтов. В первом случае придётся читать, во втором могут быть сложности, так как у сайта бывает несколько ip-адресов и бывает несколько сайтов на одном ip-адресе

Так тогда по порядку.

На данный момент хочу заблокировать сайт. У сайта есть api Через него и идут все авторизации и заход на сайт. Знаю что если добавить в host 0.0.0.0 api.xxxx заблокирует полностью доступ.

А если мне нужно заблокировать определенную страницу, а у сайта куча подменных IP, то как быть ?

Понятно, что по ip определённую страницу сайта не заблокировать, для этого всякие прокси (не обязательно кеширующие) и ставят. Но с учётом того, что есть всякие web proxy, может оказаться, что и privoxy не поможет.

Относительно подменных IP сайта не понял, у DNS имени может быть несколько ip-адресов, их можно назвать дополнительными, но «подменные» как-то не подходит. Подменный адрес, это как раз когда ваш DNS-сервер отдаёт 0.0.0.0 и что-то подобное, а не настоящий адрес api.xxxx.

Что-же в таком случае сделать ?

Привет, надеюсь это кому то поможет. Для проделывания дальнейших операций потребуется пакеты iptables-mod-filter, kmod-ipt-filter, kmod-ipt-core поэтому устанавливаем их через LuCI или ssh, возможно вам понадобятся и другие пакеты всю дополнительную информацию вы найдете зжесь https://oldwiki.archive.openwrt.org/doc/howto/netfilter . Для применения правил в LuCI заходим в Сеть --> Межсетевой экран --> Custom rules.(После применения правил перезагрузить маршрутизатор). В случае успеха примененные правила отобразятся в Статусе межсетевого экрана, иначе подключитесь по ssh примените выбранное правило, посмотрите на ошибки, и погуглите их.

Для фильтрации определенного URL я использую правило
iptables -A FORWARD -p all -m string --algo bm --string «example.org» -j REJECT
Где: -p порт/порты (можно так например -p tcp -m multiport --dports 80,443). «example.org» : URL который блокируете без www (кавычки оставить).

Для фильтрации определенного IP.
iptables -A FORWARD -p all -s 127.0.0.1 -j REJECT

Для фильтрации определенного URL по mac адресу.
iptables -A FORWARD -p all -m mac --mac-source AA:BB:CC:DD:EE:FF -m string --algo bm --string «example.com» -j DROP

Для фильтрации определенного URL по mac в определенное время(настройте ntp).
iptables -A FORWARD -p all -m time --kerneltz --timestart 21:00:00 --timestop 06:00:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -m mac --mac-source AA:BB:CC:DD:EE:FF -j DROP.

Перехватывать весь dns трафик и направлять на dns-сервер роутера

А там уже выдавать 0.0.0.0 на «заблокированные» домены.

Если юзер у вас не haxxor c vpn, до сайта не доберется.