Modem per Fastweb, quale?

filtrofibra VPN, quindi blocca la porta 443 (https) in uscita? DNS blocca anche la 853? In ogni caso IMHO non fa SSL inspection e lascia passare tutto in HTTPS perchè con quel processore non ce la farebbe a farlo a 1Gbps, altrimenti Cisco non chiederebbe 3000€ di solo hardware per un ASA 5516-X che fa "quasi" quella velocità di inspection. E se fa filtraggio di solo DNS, dato che Google e Mozilla nelle prossime release dei browser attiveranno come default DNS over HTTPS a livello applicazione non filtrerà più nulla.
Questo è uno dei motivi per cui non viene fatto sui router "domestici", perché consuma risorse e penalizza le prestazioni, soprattutto se uno poi ci attacca una FTTC a 200Mbps o una FTTH.

rami era un esempio di pessimo gusto fatto di proposito

ogni bambino/ragazzo, per crescere bene nel magico mondo dell'internet, ha bisogno della giusta dose di /b e /pol secondo me

piuttosto bloccare aranzulla e softonic, quello sì che è corretto

scusate chiudo l'OT

filtrofibra Ho notato che nessuno, ma veramente nessuno ha speso solo 30 secondi per approfondire su come è fatto il software di questi dispositivi, questo in particolare

Io sì, è OpenWRT alias LEDE con una interfaccia grafica diversa da LuCI, un po' più user friendly e con i pacchetti preinstallati, che si può installare anche su altri router. Quello che vendono loro è un hardware cinese che ho già visto su Wish e Aliexpress proprio con OpenWRT, se ci attacchi una FTTH non credo possa fare più di 4-500Mbps.
Ripeto comunque, se quella cosa lascia passare HTTPS, io nel mio lavoro precedente avevo un server OpenVPN per alcuni utenti che a volte lavoravano da reti di altri ospedali e cliniche che bloccavano le VPN. Facevo girare il tutto su 443 tcp e passava lo stesso, perchè senza fare deep packet inspection non si può distinguere il traffico da normale navigazione web.
Poi ti consiglio di approfondire il discorso che ho fatto su Firefox, Chrome e DNS over HTTPS. Significa che quei browser invece di usare query DNS normali utilizzeranno i server di Google e Cloudflare come DNS criptati, quindi di nuovo bypassati dal sistema di sicurezza di questo router.

filtrofibra Ripeto, è una gara a trovare la falla, che esisterà SEMPRE

Certo, ma ci sono le falle aggirabili da hacker professionisti e quelle aggirabili da ragazzi un minimo sgamati

Il DNS che ti aveva consigliato @matteocontrini fa tutto quello di cui hai bisogno, includa la blocklist di siti.
Certo e funziona con qualsiasi router ti faccia mettere un server DNS alternativo nella impostazioni del DHCP.
Cambiando i DNS sui dispositivi viene aggirato ma fa lo stesso, forse un bambino di sei anni lo freghi.

filtrofibra introduzione delle regular expression

Io penso che la stragrande maggioranza delle persone qui sa cosa siano le regular expression, però ti stiamo dicendo che il problema risiede più a monte: il router ha difficoltà a capire se il pacchetto che passa sulla porta 443 è un HTTPS verso il sito dei Pokèmon oppure un pacchetto VPN diretto (dopo il server VPN) verso YP.

Quindi:

• o blocchi i DNS, vedi metodo di matteo
• o blocchi tutti i siti HTTPS
• o fai passare

Se hai bisogno di un "serio" parental control usa quelli sui dispositivi (so che google ha il suo)
Alle medie e nel primo anno di superiori aiutavo i miei compagni a bypassare i vari parental control messi dai genitori: quelli sui dispositivi erano quelli più complicati mentre sui router nel 99 % dei casi era una vaccata

Per non parlare che magari se metti il link in google traduttore bypassi anche il firewall da 3000 euro (a scuola era così)

Comunque oggi installo pcWRT su una virtual machine (sperando ci sia una build per x86) e ti faccio sapere

Edit: non ho trovato una build per x86 e nemmeno una versione pubblica gratuita, mi spiace.
Ci ho provato

x_term VPN, quindi blocca la porta 443 (https) in uscita? DNS blocca anche la 853? In ogni caso IMHO non fa SSL inspection e lascia passare tutto in HTTPS perchè con quel processore non ce la farebbe a farlo a 1Gbps, altrimenti Cisco non chiederebbe 3000€ di solo hardware per un ASA 5516-X che fa "quasi" quella velocità di inspection. E se fa filtraggio di solo DNS, dato che Google e Mozilla nelle prossime release dei browser attiveranno come default DNS over HTTPS a livello applicazione non filtrerà più nulla.
Questo è uno dei motivi per cui non viene fatto sui router "domestici", perché consuma risorse e penalizza le prestazioni, soprattutto se uno poi ci attacca una FTTC a 200Mbps o una FTTH.

stavo scrivendo la stessa cosa. Un firewall Watchguard serie T se attivi l'inspection lo metti in ginocchio, gli M anche se ci sono troppi clients, e parliamo di hw da diverse migliaia di euro + canone licenze.

Ripeto, come ho scritto sopra, un giocattolo da poche centinaia di euro non può e non potrà mai permettere di controllare il traffico in uscita in maniera adeguata. È molto più semplice agire nei client. L'unica cosa che questi dispositivi possono fare è agire sulle query dns impedendo la risoluzione di alcuni url, niente di più. Cosa che forse riesce a fermare mia mamma, ma di sicuro non un qualsiasi ragazzino che sa usare Google