OPENWRT明白纸：—【插件】—【AdGuardHome】广告拦截、DNS防污染

从这篇开始讲OW的插件，需要说明的您的路由器上OPENWRT有哪些插件是由这个插件的编译者决定的，因为OW本身就是一个完全开放的系统，可以自由增减需要的插件以对应不同的需求，我之后的若干文章讲的都是一些非常常用的插件，未必有您正好需要的那个，或者您的OP上存在的某个插件我没有讲到，请自行搜索教程，无法做到面面俱到，因为OW的插件真的是非常多。

最牛叉的软件（插件）就是：你天天在用他，但是你感觉不到他的存在。

【AdGuardHome】：著名的是广告拦截与反跟踪软件，你可能在谷歌浏览器插件里经常看到这行字母，那只是在浏览器里控制广告和反跟踪；而把他装在路由器固件里，则是从根源上进行广告拦截，效率非常之高。这个或者这类软件的原理是：监控DNS的域名解析，做广告拦截和反跟踪。

大白话就是：第一不让广告网站顺利解析到你的终端地址，他解析不到，自然没法给你发广告看！第二，你不想看、不想你孩子看、只想自己偷偷看不想别人看的网站，你的路由器不解析他的DNS，自然也看不到。

好听的描述叫：实现DNS防污染、加快网站解析速度和广告拦截。其实这就是个双向精确控制DNS解析服务的插件！

【DNS域名解析】：

释义：IP地址大家都明白，IP地址是一排数字（IPV6是数字和字母），是网络上标识站点的数字地址，比如192.168.1.1，而数字只是数字，而域名有一定的文字含义，也方便记忆。而域名则可以试试更为宽泛的数字和字母的组合。简单说一个是给网络看的，一个是给人看的，所以使用这个体系就牵扯到一个对应解释的问题，所以域名解析就是给ip地址指向具体的域名，使人们可以方便的访问网站。

干这个事情的专门的服务器就叫域名解析服务器即DNS服务器！

AdGuard Home 支持 DNS over TLS 和 DNS over HTTPS。

打开OW里的AdGuardHome，分为基本设置、日志、手动设置，前两个好理解，手动设置就是这个插件命令行工具，这个后边会用到。先来说基本设置。

进入基本设置，先不着急启用，我们先自动更新核心版本，其实不更新也照样用，但是还不知道怎么往下搞的时候，有个键让你摁摁也不错吗，起码开始沉浸了。

旁边的快速设置就是手动设置，命令行设置；

看到下面：核心版本:core error 没有配置文件no core没有核心，也不要害怕，不是这插件有问题，是你还没启用这个插件，数据标识没有过来。

启用AdGuardHome，下面的提示显示已经运行，但是未重定向！日志里也会有记录了。

把页面拉到下面，更多选项-改变网站登录密码-添加，

页面中段就会出现一个对应的控制选项，

点那个载入计算模块-计算-他就会算出一串数符，填进去，右下角点保存应用，简单讲就是这个插件用在你这个路由上的识别代码。

复制这个字符串，到手动设置里，找password那一行，把原先的换成你这个，右下角点保存应用。

很多人发现这一步完了以后进行不下去，就是这个字符串没复制完整，所以在复制的时候仔细检查，完整复制过去。

回到基本设置，你会看到四个绿色的字：已重定向，这就是插件服务器和你这个路由器已经对上号了，握手了。

点红框那个行绿色字：AdGuardHome WEB：3000，会出来个网页，开始配置，一共五个步骤。

用户名root，密码admin，这就进来了。

我们先看最后：设置指导，因为这个插件是装在路由器里的，所以我们选择ROUTER那里，他会把这个路由器上受ADGUARD保护和约束的终端显示出来，然后告诉你一件事，你设置完规则之后，别忘了出去在你路由器的DHCP/DNS页面里输输入ADGUARD服务器地址作为这个路由器的DNS服务器。这个我们最后设置完了，出来的时候再去设置。

仪表盘：AdGuard Home的监控页面，用一段时间你会有种总有刁民想害朕的感觉。

仪表盘显示都是零，这说明现在还没有开始拦截，因为你还没有设置合适的规则。我们进入设置-常规设置：

设置：

常规设置有四项，第一个必须打开，打开才会提供这个功能服务；后三项是AdGuardHome自带的一套比较宽泛的拦截控制规则，你要是在国外的话，选上直接用就行，往后都不用怎么设置了；但是在国内，因为国家网络管理的原因，他这套明显玩不转，所以这三项建议不要打勾，打了你经常就很多网站进不了。

日志和统计意义不大，可以开日志，不会增加多少负担的。已阻止的服务是你可以快速的控制一些网站和这些网站提供的服务可不可以打开。看看就知道，对咱们国内用户没什么意义。

设置中的DNS设置，这个插件的核心之一所在，咱们一条条捋。

上游DNS服务器：

就是你要找一些靠谱的、安全的、速度快的公共DNS解析服务器来用，他自带的多是国外的DNS，所以在这要给他换成国内的公共解析服务器，比如阿里的、腾讯的、百度的。所以你要找点国内的DNS服务器来用，下面是阿里的，，不用特别多，这些东西都是网络最基本的，不会有什么山东用百度的，因为都在北方，江浙沪用阿里的因为在南方这种事，地理距离客观存在，但是你基本感觉不到！也不用担心这些头部网站出节目，bat哪个都很牛逼，这个都做不好，中国也不会是现在的中国。然后下面勾选：并行请求。

https://kb.adguard.com/zh/general/dns-providers#ali-dns，这是AdGuardHome统计的世界各地的DNS服务器，你在里面找国内的基本都全了，阿里的、腾讯的、360的都有，下面这些是阿里、腾讯、360的DNS服务器，我已经给你扒出来了，复制进去就好，一条一行。只上国内的和国家允许的没有封的国外网站，不搭梯子就够了。。。。

223.5.5.5

223.6.6.6

2400:3200::1

2400:3200:baba::1

https://dns.alidns.com/dns-query

tls://dns.alidns.com

101.226.4.6

119.28.28.28

https://doh.pub/dns-query

https://dns.pub/dns-query

tls://dot.pub

101.226.4.6

218.30.118.6

123.125.81.6

140.207.198.6

https://doh.360.cn/dns-query

tls://dot.360.cn

Bootstrap DNS：

用于解析上游DNS，就是给刚才录入的那些dns服务器做解析的服务器，所以尽可能将Bootstrap DNS的第一条设置为当地运营商的DNS地址，搜索你城市的DNS，搜不到打客服！我就只输了我们大济南的这个。可以测试一下你刚才录入的，点那个蓝色的测试上游DNS，有问题会在屏幕右下角提示的，一般不会出问题的。

然后应用！

DNS 服务设定：

这个部分建议保持原设置留白就行了，別捣鼓，基本都是一些较深层应用，对你也没什么意义，很多东西都需要运营商和服务器配合，不是咱们这个层面确定的。

访问设置，就是你允许你这个路由器访问的地址、不允许的地址、不允许的网域列表。

在这里设定的话，优先级是很高的，但不是最高的，最高的在后边有讲！比如某个网站，你在后面的规则设置设置不能访问，但是在这里把这个网址纳入允许，你还是看可以访问这个客户端。看您需要吧，原则上不用在这设置，需要拦截或者放行在后边的规则里设置。

这种情况完全就可以用adguard的dns管理功能，把国内外分开，做法就是在上游DNS添加国外的DNS服务器和Bootstrap DNS服务器，比如你要上这个是英国的，你就给他俩个英国的服务器，为具体的应用设置具体的规则，这样DNS就会比较精细的控制，这又回到开始了，你说这个插件是防广告的没毛病，其实他是一个非常强大稳定的DNS控制插件！

加密设置：AdGuard Home 的网页管理界面将通过 HTTPS 连接访问，同时 DNS 服务器将监听通过 DNS-over-HTTPS 与 DNS-over-TLS 发送的请求。

这里面的原理简单来说，就是把HTTP协议换为HTTPS协议传输，HTTP和HTTPS使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。HTTP协议传输的数据都是未加密的，也就是明文的，因此使用HTTP协议传输隐私信息非常不安全，为了保证这些隐私数据能加密传输，SSL（Secure Sockets Layer）协议用于对HTTP协议传输的数据进行加密，从而就诞生了HTTPS。

但是注意，这个只是针对AdGuard Home 的网页管理界面，将通过 HTTPS 连接访问。想用这个功能需要去制作ssl证书，这是腾讯的免费制作地址：https://cloud.tencent.com/login?s_url=https%3A%2F%2Fconsole.cloud.tencent.com%2Fssl。

证书下来，按页面上要求填写就可以了，一般人也不会鼓捣这个，需要鼓捣这个的都明白着呢，也不会看我这扫盲文章。

客户端设置：简单讲就是只要通过这个路由器联网，受DNS免污染保护的终端设备都在这里，这些终端也都受AdGuard Home的规则约束！

已经受保护的终端已经列在下面了，你可以添加客户端，一般都是自动出来，不需要设置什么。

DHCP 设置：如果你的路由器没有提供 DHCP （动态主机配置协议）设置，你可以使用 AdGuard 内置的 DHCP 服务器。

不用解释了吧，一般路由器都带，用不上这个，功能也不算强大。

过滤器：设置过滤和保护规则的页面

DNS封锁清单：在这里AdGuard Home将阻止匹配DNS拦截清单的域名

很好理解，垃圾广告都是从这出来的，清单网址就是一个个阻止列表，其实就是一些TXT文件，一个网站一行回车这么编写，这个列表里的都是受到adguard约束的。广告拦截就是在这里拦截

你也可以添加自己的列表，但是要给这个列表文件找个主机空间存放，或者你网上找现成的，我这条提供两个很常用且更新及时的，对应国内的。

https://gitee.com/halflife/list/raw/master/ad.txt

http://sub.adtchrome.com/adt-chinalist-easylist.txt

https://gitee.com/xinggsf/Adblock-Rule/raw/master/rule.txt

不要滥用规则，你弄一大堆规则上去，互相有交叉，会弄的你经常打不开网站，这里一定注意，找几个自己用的顺手的就可以了。

DNS允许清单：来自DNS允许列表的将被允许，即使它们位于任意阻止列表中也是如此，也就是说，这个地方出现的网址是权限最高的，你把网址列在这里，之前的阻挡原则都无效。

同上，也是可以添加你的规则列表。比如你用网上搜到一些不允许清单，这些清单可以用，但是你不能改，里有一个网站是禁止了一个你常用的网站及其服务，你就在允许清单里加上这个网址，这个网站就可以使用了，相当于给这个网站开了一个特权。

DNS重写：可以轻松地配置特定的域名的自定义 DNS 响应。

他这描述为“重写”，我理解应该是DNS重定向，重写此域名的响应。

比如你用一些国外的DNS上游服务器，Local DNS解析有错误，查这个地址发现是国外的，就解析到国外去了，你的网页就打开的非常慢，遇到这种情况，在这把这个地址做个DNS重定向，打开就正常了。

自定义过滤规则，一个简单的命令行工具，增加控制规则，除了可以用ADGUARD的语法， adblock 语法或 Hosts 语法的规则。

ADGUARD过滤语法规则，一行一回车：

||example.org^ – 拦截 example.org 域名及其所有子域名

@@||example.org^ – 放行 example.org 及其所有子域名

127.0.0.1 example.org – AdGuard Home 现在将会把 example.org（但不包括它的子域名）解析到 127.0.0.1。

! 这是一行注释 – 只是一条注释

# 这也是一行注释 – 只是一条注释

/REGEX/ – 阻止访问与example_regex_meaning匹配的域

到这，ADGUARD插件内就设置完毕了，文章开始说过，设置完规则之后，还要设置路由器的DHCP/DNS使用ADGUARD服务器

5553重定向这里选上：作为dnsmasq的上游服务器。如果DHCP/DNS里的转发有5553这个端口，就说明设置正确了。

DNS转发那里有127.0.0.1#5553，设置成功。

我们在进入配置网页，仪表盘里你会发现已经开始拦截和约束了。

写到最后，还得注明的是，这个插件其实是个DNS的控制插件，广告拦截只是这个原理下的实践，所以你以后有一些其他插件设置异常的话，比如搭梯子这种，可以到这来看看，增减一些规则，可能其他插件就运行正常了。