Skip to content
Blog

Как да блокираме трафик към определени държави на MikroTik

Резюме Този наръчник показва как да блокирате мрежов трафик към определени държави с MikroTik RouterOS. Ще научите как да получите IP блокове от IPDeny, да ги форматирате в CLI команди чрез електронна таблица, и да конфигурирате правило за филтър за отхвърляне, ограничаващо достъпа до нежелани географски региони.

Как да блокираме трафик към определени държави на MikroTik

Контролирането на посоката на мрежовия трафик е ключов елемент от съвременната мрежова сигурност. Независимо дали спазвате корпоративни политики или просто ограничавате достъпа до сървъри в рискови региони, блокирането на трафик по държава е мощен инструмент.

Въпреки че MikroTik RouterOS няма вграден бутон “Блокирай държава X”, това може да се постигне ефективно чрез Address Lists и стандартни Firewall Filters. Това ръководство ще ви води през ръчния процес по събиране на IP диапазони и прилагането им на вашия рутер.

Стъпка 1: Намиране на IP блоковете

За да блокирате държава, първо трябва да имате списък с всички IP адреси, присвоени на този регион. Един от най-надеждните и безплатни източници е IPDeny. Те предлагат агрегирани файлове, обновявани често.

  1. Отидете на IPDeny.com (или в секцията им “IP Country Blocks”).
  2. Намерете държавата, която искате да блокирате.
  3. Изтеглете файла с IP блокове (обикновено .txt файл).

Забележка: IP разпределенията се променят с времето. Важно е да актуализирате тези списъци редовно, за да не блокирате нови законни IP адреси или да не пропускате преразпределени такива.

access https://www.ipdeny.com/ipblocks/ to full list

Стъпка 2: Форматиране на данните за RouterOS

Файлът, който изтеглихте, съдържа списък с IP подмрежи (например 1.2.3.0/24), но вашият MikroTik рутер очаква специфичен формат на командите за импортиране. Можем да използваме електронна таблица като Excel, за да автоматизираме форматирането на текста.

  1. Отворете вашия софтуер за електронни таблици.
  2. В Колона B поставете списъка с IP адреси, изтеглен от IPDeny.
  3. В Колона A въведете префикса на командата:
    ip firewall address-list add list=BlockedCountry address=
  4. В трета колона използвайте формула за обединяване, например:
    =A1 & B1
  5. Плъзнете формулата надолу, за да покриете всички редове.

Вече имате пълен списък с CLI команди, готов за вашия рутер.

Spreadsheet formatting IP addresses into MikroTik CLI commands.

Стъпка 3: Импортиране на адресния списък

С готовите команди е време да ги заредите в рутера. Така създавате именуван набор от IP адреси (Address List), който може да използвате в правилата си.

  1. Копирайте генерираните команди от електронната таблица.
  2. Отворете Winbox и влезте в MikroTik рутера.
  3. Отворете прозорец на New Terminal.
  4. Поставете командите директно в терминала.

Ако списъкът е голям, поставянето може да отнеме няколко секунди. След като приключи, проверете импортирането в IP > Firewall > Address Lists. Трябва да видите хиляди записи със създаденото име (например BlockedCountry).

Стъпка 4: Създаване на правило за отхвърляне

След като рутерът знае кои IP адреси принадлежат на целевата държава, трябва да му кажете какво да прави с трафика към тях. Ще създадем правило за филтър, което да отхвърля този трафик.

  1. Отидете в IP > Firewall > Filter Rules.
  2. Натиснете Add (+), за да създадете ново правило.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Настройки в раздел General:
    • Chain: forward (Отнася се за трафик, преминаващ през рутера, от LAN към Интернет).
    • In. Interface: Изберете LAN мрежовия интерфейс или мост.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Настройки в раздел Advanced:
    • Dst. Address List: Изберете създадения списък (напр. BlockedCountry).
  2. Настройки в раздел Action:
    • Action: drop.
Configuration of a firewall drop rule in MikroTik Winbox.

Натиснете OK, за да запазите. Преместете правилото високо в списъка, за да се приложи преди всички “приеми всички” правила.

Съвет: Ако искате да блокирате трафик от тази държава, създайте второ правило с Chain input (за трафик към рутера) или forward (за трафик към LAN) и задайте Src. Address List на същия списък със страни.

Улесняване на управлението с NatCloud

Ръчното управление на тези списъци на един рутер е възможно, но поддържането им актуални на десетки или стотици устройства е предизвикателство.

NatCloud на MKController ви позволява да управлявате MikroTik устройствата си дистанционно, дори зад CGNAT. Докато този урок се фокусира върху ръчна конфигурация, използването на централизирана платформа ви помага бързо да разпространявате скриптове и актуализации до множество рутери, гарантирайки винаги актуална геоблокираща политика без досадна работа с електронни таблици.

За MKController

Надяваме се горните съвети да ви помогнат да управлявате по-добре вашия MikroTik и интернет свят! 🚀
Дали прецизирате конфигурации или просто се опитвате да внесете ред в мрежовия хаос, MKController е тук, за да улесни живота ви.

С централизирано управление в облака, автоматични актуализации за сигурност и лесен за ползване интерфейс, ние предлагаме всичко необходимо за усъвършенстване на работата ви.

👉 Започнете безплатен 3-дневен пробен период на mkcontroller.com — и вижте как изглежда лесното управление на мрежа.