屏蔽局域网MAC地址
iptables -I FORWARD -m mac --mac-source B0:A3:7E:17:8C:6B -j DROP
iptables -I FORWARD -m mac --mac-source 54:E4:BD:2F:26:67 -j DROP

屏蔽局域网访问外网特定网站
iptables -I FORWARD -d tms.can.cibntv.net -j DROP

iptables的配置文件在/etc/firewall.user 这个文件里面

# This file is interpreted as shell script.
# Put your custom iptables rules here, they will
# be executed with each firewall (re-)start.
iptables -I FORWARD  -m mac --mac-source B0:A3:7E:17:8C:6B -j DROP 
iptables -I FORWARD  -m mac --mac-source 54:E4:BD:2F:26:67 -j DROP 
iptables -I FORWARD -d tms.can.cibntv.net -j DROP
# Internal uci firewall chains are flushed and recreated on reload, so
# put custom rules into the root chains e.g. INPUT or FORWARD or into the
# special user chains, e.g. input_wan_rule or postrouting_lan_rule.
可以把上面的内容加入中间
 
具体iptables的用法网络上一堆。
前文提到了在 openwrt 系统中，IP过滤和mac 过滤的大概实现，这里再简单介绍下域名过滤的实现。
域名过滤主要是建立在dns服务器基础上。前期我也考虑过通过域名劫持的方式将访问转接到其他地址
直接劫持ip
比如：在openwrt系统中，我们可以通过修改 dnsmasq.conf 文件进行实现。
# vi /etc/dnsmasq.conf
address=/testdomain.com/10.10.254.62   //在文本最后添加一行实现tes
				
修改 /etc/dnsmasq.conf ，将 anti-AD 提供的配置，全部复制粘贴到最下方保存退出即可。
使用 /etc/init.d/dnsmasq restart 重启 dnsmasq 服务
参考网页：在openwrt环境下配置dnsmasqopenwrt dnsmasq dns 配置，运行机制初探