NextDNS 家长控制完整配置指南¶

状态: ✅ 已完成

创建日期: 2026-03-10 最后更新: 2026-03-10 （Recreation Time 配置完成）

背景¶

为大女儿（Tina）配了 MacBook，需要限制 YouTube、小说网站等娱乐内容的访问。macOS Screen Time 对 Chrome 浏览器的网站限制基本无效（已知问题），因此选择 NextDNS 作为 DNS 层面的过滤方案。

环境： - NextDNS 账户: xin.peng.dr@gmail.com - Profile 名称: Tina Profile（ID: bba16a） - Tina 的 Mac 账户已降级为标准用户（非管理员） - NextDNS 通过 CLI 安装（系统级服务，对所有用户生效）

方案对比¶

方案	所有浏览器生效	可远程管理	定时控制	防绕过
Screen Time	❌ 仅 Safari	❌	✅	低
改 /etc/hosts	✅	❌	❌	中
NextDNS CLI	✅	✅	✅	中高
路由器级 DNS	✅	取决于路由器	❌	中

安装方式¶

为什么用 CLI 而不是 Configuration Profile¶

macOS Configuration Profile 存在用户级/系统级的问题： - 通过 GUI 安装的 Profile 只对安装时登录的用户生效 - profiles install 命令在新版 macOS 已废弃 - NextDNS CLI 作为系统级服务运行，天然对所有用户生效

安装命令¶

sudo sh -c 'sh -c "$(curl -sL https://nextdns.io/install)"'

安装时需要输入： - Profile ID: bba16a - Device Name: Tina-MacBook - Enable on startup: Yes

验证¶

nslookup youtube.com
# 应返回 0.0.0.0（被屏蔽）

或访问 https://test.nextdns.io，应显示 "using NextDNS"。

当前配置（实际生效状态）¶

Parental Control — Websites, Apps & Games¶

已清空单独项目，改用 Categories 分类管理（覆盖范围更广）。

Parental Control — Categories¶

类别	状态	说明
Porn	✅	色情内容
Gambling	✅	赌博
Dating	✅	交友
Piracy	✅	盗版
Social Networks	✅	社交网络（Facebook/Instagram/Reddit 等）
Online Gaming	✅	在线游戏
Video Streaming	✅	视频流媒体

Parental Control — Recreation Time¶

时段：每天 6:00 PM → 7:30 PM（周一至周日）

原理：每个屏蔽项旁边有一个 ⏰ 时钟图标，点亮 = 参与 Recreation Time 放行，灰色 = 永久屏蔽不受 Recreation Time 影响。

类别	⏰ Recreation Time	效果
Porn	❌ 灰色	永久屏蔽
Gambling	❌ 灰色	永久屏蔽
Dating	❌ 灰色	永久屏蔽
Piracy	❌ 灰色	永久屏蔽（即使 Recreation Time 期间也不放行）
Social Networks	✅ 点亮	6:00-7:30 PM 放行
Online Gaming	✅ 点亮	6:00-7:30 PM 放行
Video Streaming	✅ 点亮	6:00-7:30 PM 放行

Parental Control — 其他¶

项目	状态
SafeSearch	✅ 开启
YouTube Restricted Mode	✅ 开启
Block Bypass Methods	✅ 开启

Security（安全）¶

项目	状态
Threat Intelligence Feeds	✅
AI-Driven Threat Detection	✅
Google Safe Browsing	✅
Cryptojacking Protection	✅
DNS Rebinding Protection	❌
Homograph Attacks Protection	❌
Typosquatting Protection	❌
DGA Protection	❌
Block Newly Registered Domains	❌
Block Dynamic DNS	❌
Block Parked Domains	✅
Block CSAM	✅

Privacy（隐私）¶

Blocklists（6 个）： - NextDNS Ads & Trackers Blocklist - AdGuard Mobile Ads filter - OISD - AdGuard DNS filter - EasyList - AdGuard Tracking Protection filter

项目	状态
Block Disguised Third-Party Trackers	✅
Allow Affiliate & Tracking Links	❌

Denylist（黑名单）¶

czbooks.net
youtube.com（与 Parental Control 重复，可清理）

Allowlist（白名单）¶

空

Settings（设置）¶

项目	状态
Logs	✅ 开启
Log clients IPs	✅
Log domains	✅
Log retention	3 months
Block Page	❌ 关闭（建议开启）
Cache Boost	✅
CNAME Flattening	❌
Anonymized EDNS Client Subnet	✅

封堵绕过手段¶

Chrome Secure DNS（DoH）¶

Chrome 自带 Secure DNS 会绕过系统 DNS。需要确保关闭：

Chrome → chrome://settings/security → 关闭 "Use secure DNS"
企业策略强制关闭（在 Tina 的 Mac 管理员账户执行）：

sudo defaults write /Library/Managed\ Preferences/com.google.Chrome DnsOverHttpsMode -string "off"

标准用户限制¶

Tina 的标准用户账户无法： - 修改 Wi-Fi DNS 设置（需管理员密码） - 卸载 NextDNS CLI（需 sudo） - 安装 VPN 软件（Block Bypass Methods + App Store 限制）

日常管理¶

操作	方法
查看访问日志	https://my.nextdns.io → Logs 标签
临时放行被误封的学习网站	Allowlist 中添加域名
考试期间加严	Recreation Time 全部关闭
假期放宽	延长 Recreation Time 时段
新增屏蔽网站	Denylist 中添加域名

待办¶

iPad 也接入 NextDNS 管理（通过 apple.nextdns.io 安装 Configuration Profile）
考虑开启 Block Page（被屏蔽时显示提示而不是报错）
考虑开启 DNS Rebinding / Homograph / Typosquatting Protection

已知局限¶

局限	说明
Recreation Time 每天只能设一个时段	不支持多时段（如中午+晚上各一小时）
无法精确屏蔽 YouTube 某些频道	只能全屏蔽或全放行；YouTube Restricted Mode 可过滤部分内容
VPN 可绕过	Block Bypass Methods 能挡大部分，但不是 100%；限制 App Store 安装是关键补充
NextDNS CLI 对 Mac 全局生效	管理员账户也会被过滤

踩坑记录¶

macOS Screen Time 对 Chrome 无效 — 已知问题，多个 Apple 社区帖子确认
Configuration Profile 用户级 vs 系统级 — 通过 GUI 安装的 Profile 只对当前用户生效，profiles install 命令已废弃，最终改用 CLI
YouTube 屏蔽不稳定 — 根本原因是 DNS 没走 NextDNS（Profile 只对管理员用户生效），切换到 CLI 后解决
Homebrew 权限问题 — Tina 标准账户下 /opt/homebrew 无写权限，需 sudo chown -R $(whoami) /opt/homebrew 后在管理员账户安装

参考资料¶

NextDNS 控制面板: https://my.nextdns.io
Apple 设备 Profile 安装: https://apple.nextdns.io
NextDNS 测试页面: https://test.nextdns.io
NextDNS 帮助中心: https://help.nextdns.io
NextDNS CLI GitHub: https://github.com/nextdns/nextdns/wiki