哎，给我倒腾半天，刚刚朋友说了个更好的方法，分享各位朋友：

安卓通过 root 权限控制应用联网
允许应用联网
iptables -I OUTPUT -m owner --uid-owner 安卓应用的 uid -j ACCEPT

禁止应用联网
iptables -I OUTPUT -m owner --uid-owner 安卓应用的 uid -j DROP

命令解释：
安卓的机制跟传统 linux 是不一样的，不能用传统 linux 那样直接通过端口或者应用进程来管控，而且安卓主要是以 system 用户身份控制这些操作，root 用户虽然权限比 system 更高，可是代码优先级不如 system,故而，咱们只能通过 root 后，调用 iptables 命令来管控安卓应用的联网权限，通过获取已经安装的应用程序 uid ，再结合 linux 下的禁用单个用户 uid 联网命令，即可达到禁用联网的目的。
因为安卓修改了 linux 传统内核，将 linux 传统的用户机制给修改了，安卓上把 0-9 和 1000 号，划为第一层用户，权限最高，包括 root 、dev 、proc 、shm 、system 等，第二层则是 1001-2000,这部分权限比上面低一些，能做的也十分有限，比如 adb shell,而普通用户开始的位置，根据不同安卓版本，而产生不同的起始数字，但是可以肯定的是，普通用户安装的软件起始 uid 肯定是一万以上开始起步。
安卓上也有多用户模式，不过只是 10-999 这个区间，在安卓 5.0 （ api21 ）正式发布并且完善，可以通过 adb 命令

pm create-user

来实现创建用户

am start-user uid
实现启动用户

END

@clf @bowencool @Censhuang @yolee599 @zerovoid
感谢各位大佬。的确啊，我想堵了云视听小电视 TV 版，引导孩子看点别的。
其实本来 B 站还是不错的，就是这些游戏主播，小时候不读书，长大混不走当游戏主播 UP 主，念经一样，满嘴淫秽粗俗语言，游戏水平还不咋地。
其实，如果没有这些快餐垃圾文件，B 站绝对是个好站点。

哎，也是没有办法。谢谢大家，如果大佬们有什么好的控制推荐功能的方法，也请一并分享。拜托拜托。谢谢。

还有，STUN 地址也没有封锁，无关紧要了。

最后，采用排除法，发现只要拦住推荐列表，即可。因此大量的缩减了防火墙的条目。
1. 全部端口拦截已经不再需要，因为，如果它没有办法下载列表，那么，后面根本到不了访问端口这一步。所以，全部端口策略删除。
2. 最后，经排除法，留下了三条 IP 地址 XXX/24 位，在我家里实验是成功的，估计，各个版本，地区会有差异。

@xyfan @ccdesue @guiys @linzh @moefishtang @nagisaushio @nagisaushio @nothing2 @nothing2 @stobacco @xyfan
感谢各位大佬，成功啦。

之前首先关闭了 IPV6 ，那个的确不好管，因为 IPV6 地址是动态分配，不像 V4 容易定位。

用了点狠招，就是把那一堆 IP 地址(都是连接 80 ，443 端口的）的掩码全部改成了 16 ，然后整个世界清净了。现在逐一缩小范围即可。

感谢各位大佬，也请指导。

其实，这里面有几个 STUN 服务器
ist dest_ip '81.69.192.254'
list dest_ip '159.75.113.64'
list dest_ip '82.156.104.30
139.155.176.138

开始屏蔽了一堆固定非标端口，那堆端口大概率对应的是 PCDN 服务器，因为家用电脑也没有 80 ，443.

它的推荐服务首先就是连接这四个服务器（ STUN 服务器，内网打洞建立连接用途）
我屏蔽了它，原以为它会老实，没想到百足之虫，死而不僵，然后跳出一堆，80 ，443,估计就他家的了。

想来大厂都是一段一段的 IP ，还有 CDN 之类。这个只有一段一段的抓。
开始抓了一些地址，也有些许规律。
开始写到/24 位掩码，部分能看，部分不能看，就是要死不死的，好像跟你示威一样。
然后整成/16,整个世界清静了。

盒子嘛，没有 V6 关系也不大。

再次感谢各位大佬。

说一下，我自己的对 B 站没有任何爱恨和利益纠葛，全属于护犊子情深，20 年网工经验，全拿来对付孩子了，也是悲哀。

config rule
option name '干死 BILIBILI,封 80 ，443 网段'
option src 'lan'
list src_ip '172.16.0.154'
option dest 'wan'
option target 'REJECT'
list dest_ip '114.116.215.0/24'
list dest_ip '112.45.122.0/24'
list dest_ip '117.23.60.0/24'
list dest_ip '182.247.247.0/24'
list dest_ip '182.252.154.0/24'
list dest_ip '10.91.0.0/24'
list dest_ip '182.243.27.0/24'
list dest_ip '101.91.140.0/24'
list dest_ip '81.69.192.254'
list dest_ip '159.75.113.64'
list dest_ip '82.156.104.30'
list dest_ip '113.57.7.143'
list dest_ip '223.113.14.68'
list dest_ip '239.255.255.250'
list dest_ip '139.155.137.138'
list dest_ip '42.4.50.105'
list dest_ip '203.119.238.240'
list dest_ip '203.110.204.80'
list dest_ip '108.163.203.210'
list dest_ip '220.167.102.33'
list dest_ip '203.119.238.0/24'
list dest_ip '117.44.77.0/24'
list dest_ip '119.84.174.0/24'
list dest_ip '123.138.84.0/24'
list dest_ip '203.119.206.0/24'
list dest_ip '182.247.238.0/24'
list dest_ip '182.242.87.0/24'
list dest_ip '224.0.0.251/24'
list dest_ip '140.249.62.0/24'
list dest_ip '182.242.0.0/16'

config rule
option name '干死,BILIB 封端口'
option src 'lan'
option dest 'wan'
option dest_port '8082'
option target 'REJECT'

config rule
option name '干死,BILIB 封端口'
option src 'lan'
option dest 'wan'
option dest_port ' 3478'
option target 'REJECT'

config rule
option name '干死,BILIB 封端口'
option src 'lan'
option dest 'wan'
option dest_port '8053'
option target 'REJECT'

config rule
option name '干死,BILIB 封端口'
option src 'lan'
option dest 'wan'
option dest_port '8000'
option target 'REJECT'

config rule
option name '干死,BILIB 封端口'
option src 'lan'
option dest 'wan'
option dest_port '8000'
option target 'REJECT'

config rule
option name '干死 BILI'
option dest 'wan'
option target 'REJECT'
list dest_ip '116.172.86.0/24'
list dest_ip '113.142.207.0/24'
list dest_ip '203.119.204.0/24'


反正也不知道哪些是它自己的服务器，哪些是 PCDN ，误伤就误伤。问题是，还是封不完，估计这个方法对付推送还是没找准靶点。

@ccdesue 感谢大神指点迷津，我弄个爱快，太感谢了。
@moefishtang 感谢大神指点迷津，问题在于，孩子会跟老人、她妈妈吵架。为这个云视听小电视 TV 版（哔哩哗里），本来，不推送哪些恶心的游戏讲解，也无所谓，又不给设置。我想实现的目的是，不论你在哪里装，只要在家里，就是没内容，然后告诉孩子，这个网站垮了。12 岁的孩子，骗也不好骗，打也没法打。哎

option name 'app.snm0516.aisee.tv'
option name 'i0.hdslb.com'
option name 'api.snm0516.aisee.tv'
option name 'cm.snm0516.aisee.tv'
option name 'data.snm0516.aisee.tv'
option name 'upos-tribe-static.bilivideo.com'
option name 'i2.hdslb.com'
option name 'dataflow.snm0516.aisee.tv'
option name 'broadcast-service.snm0516.aisee.tv'
option name 'ottpauth.yst.aisee.tv'
option name 'upos-sz-mirror08c.bilivideo.com'
option name 'biliimg.com'
option name 'archive.biliimg.com'
option name 'ottaaa.yst.aisee.tv'
option name 'yst.aisee.tv'
option name 'ottaaanb.yst.aisee.tv'
option name 'snm0516.aisee.tv'
option name 'boss.hdslb.com'
option name 'upos-cs-upcdnbldsa.bilivideo.com'
option name 'embeddedassistant.googleapis.com'
option name 'upos-tribe-static.bilivideo.com'
option name 'dataflow.snm0516.aisee.tv'
option name 'data.snm0516.aisee.tv'
option name 'grpc.snm0516.aisee.tv'
option name 'i1.hdslb.com'
option name 'gtm.yst.aisee.tv'
option name 'ks-sh-tracker-02.biliapi.net.lan'
option name 'i1.hdslb.com'
option name 'dataflow.snm0516.aisee.tv'
option name 'bilibili.com'
option name 'www.bilibili.com'
option name 'space.bilibili.com'
option name 't.bilibili.com'
option name 'tracer.chat.bilibili.com'
option name 'search.bilibili.com'

不一定找全了，然后用了 DNSMASQ 劫持的功能，将他们全部解析到一个不存在的 DNS
list server '/*.aisee.tv/172.16.0.33'
list server '/*.hdslb.com/172.16.0.33'
list server '/*bilivideo.com/172.16.0.33'
list server '/*.snm0516.aisee.tv/172.16.0.33'
list server '/*yst.aisee.tv/172.16.0.33'
list server '/*.bilibili.com/172.16.0.33'
list server '/*.biliimg.com/172.16.0.33'
list server '/biliimg.com/172.16.0.33'
list server '/bilibili.com/172.16.0.33'
list server '/*.biliapi.net.lan/172.16.0.33'
list server '/*.bilibili.cn/172.16.0.33'

现在就是推荐搞不定，

@guiys 怕是只有把市场给灭了。
@guiys 家长不看电视啊，老人在家管不住孩子，我在远处没法管。
本来呢，我不反对孩子看电视。就反对那个推送。
最新战报：域名肯定是封锁完了，IP 封锁了一大片，也找到了关键的请求链接，关键，OpenWRT 防火墙是没有办法匹配连接内容的，高档防火墙应该可以做到了。

@linzh 哎，孩子大了，搞得鸡飞狗跳的。

主要是狗日的不讲武德，非标端口也就算了，还整了一堆 80 ，443 端口，这个再精准也没有办法，还要看电视的嘛。

1. wireguard + udp2raw , 或者 wireguard + phantun ，这两个组合是曾经用过最爽的。就是 FACKTCP 。
2. tailscale ，我自己没有用过，也没有深入研究，但记忆里就是 TCP 版的 wireguard ，和上面方案异曲同工之妙。
3. CF 代理应该是比较省事的，特点就是慢。国外我也没有去过，不知道。

1. 水星交换机所用的适配器电流不足？？？换个 2A 的适配器试试？
2. 若还不好，建议换大厂大品牌交换机。H3C 啊，HUAWEI ，ZTE 啊。

方案一：不折腾：光猫直接拨号。
方案二：光猫-联果 10G 双上行交换机（ 100 多点）接 NAS （虚拟机、或容器），跑个 Immortalwrt 官方版本，装个 Homeproxy 插件，全屋就这一个路由。
方案三：好像中兴有一款没有天线的 2.5G 小路由，应该很强。

同样网络结构，22 年 5 月份买的 中兴 ax3000 pro ，除了停电啊，一直通着电，到现在没死机过一次，信号好极了。以前用电信送的也是中兴路由，也很稳。缺点也有，就是配置界面太丑了，没有太多花哨的功能，app 管理可能要弱些，真心值得买。

其实吧，三个品牌都有用过，目前在用的是中兴设备。tplink 以前用的特别多，特点是交换机稳定，耐用，用家用交换机组部门局域网，上百台机器也挺稳定，多年都未见有坏的；路由器的特点是一个固件用到老，有线 2 兆带宽的时代没啥选择，很稳定，到无线大带宽就不行了，坏的比较多，于是在 2010 年前后，放弃该品牌路由器，后续如何，也没去了解。ASUS 呢，早年用过它的一个漂洋过海买来的企业级无线 AP ，除了价格，没啥好挑剔的。当年，asus 的路由器自身固件比较好，功能多，什么梅林等，都可以刷，于是大家就比较追捧。只是，后来再买了它的国产行货，AC68U ？？具体型号记不得了，400 块钱左右，感觉体验不太好，断流啊各种，基本的都不稳定，在手里也是满满的廉价感，轻飘飘的，于是，得出主观结论，asus 的路由器，低于 500-600 元的，用起来也许不一定如愿，于是不再碰该品牌，贵。再说中兴品牌，就是一个字，稳，无论是运营商送的，还是市场上买的，都很稳，稳到你根本无需去管它，忘记了它的存在，做工啊，颜值啊都在线，至少看起来不底端，信号呢也很强，不存在什么虚的信号，十分满意，唯一老火的是它的固件，大概率就是二者其一，做的不太符合中国人审美风格，完全是傻瓜化的，傻瓜到你想要多一点功能都没有，有时想骂娘，但如果就是拨号上网，也足够用，关键是稳。，我目前也在用。

现有 r4s 性能足够，实在没必要攒 NAS 了。所有一切的罪魁祸首，都是硬盘供电不足引起，关于硬盘供电，尝试挂一个有外部供电的移动硬盘盒子即可解决，非常稳。或者外部供电的 USB HUB

@walkbox 我也是这款主机做的路由器。用的是原版 22.03.2 ，弄好后一直没有动它了。SSR\SSR+\SS\V2RAY\XRAY\OPENCLASH 这些，统统都没有用。就是自己写了些策略，搭了个 DNS （上游走隧道），就解决了。

你的问题很有深度，我尝试着回答一下：
我的理解如下，我自己是做在 OpenWRT 路由器上面的，以前也有做在内网服务器主机上。
1 、路由器本身的 IPV4 NAT 机制相当于一个防火墙，正常情况下，外面是没有办法访问内网的，因此，可以理解为 NAT 后面的局域网为一个可信任区域。
2 、WIREGUARD 放在路由上，如果区域设置为 LAN ，那么与放内网主机并无实质区别，因为都在可信任区域。
3 、WIREGUARD 放路由器上，区域设置为 VPN ，或者 WAN ，放在了不可信任的区域，那么在路由层面它本身就是和内网是隔离的，需要通过 NAT 机制，因此，理论上它是安全的。
4 、关于端口映射和开放端口，其实用到的是 NETFLITER 机制（ IPTABLES ）中两个不同的链表，路由开放端口是 INPUT 链表，是针对路由设备本身而言。开放端口转发是在 NAT 和 FORWARD 表，它本身是不对路由设备造成危害，但暴露的是咱们内网（安全区域）。
话说，WIREGUARD 是点对多点的，一个终端配置同时只能在一个终端用，并不能复用，因此，我觉得要破解还是有难度的。