Saltar al contingut
Blog

Com Bloquejar el Trànsit a Països Concrets amb MikroTik

Resum Aquesta guia mostra com bloquejar el trànsit de xarxa cap a països concrets amb MikroTik RouterOS. Aprendreu a obtenir blocs IP d’IPDeny, formatar-los en comandes CLI amb una fulla de càlcul i configurar una regla de tallafocs per restringir l’accés a regions geogràfiques no desitjades.

Com Bloquejar el Trànsit a Països Concrets amb MikroTik

Gestionar a on va el trànsit de la vostra xarxa és una part crítica de la seguretat de xarxa actual. Tant si complau polítiques corporatives com si simplement voleu evitar que els usuaris accedeixin a servidors en regions de risc elevat, bloquejar el trànsit per país és un control potent.

Encara que MikroTik RouterOS no té un botó integrat “Bloquejar País X”, podeu fer-ho eficaçment amb Llistes d’Adreces i Filtres de Tallafocs estàndard. Aquest tutorial us guia pel procés manual d’obtenir rangs IP i aplicar-los al vostre router.

Pas 1: Obtenir els Blocs IP

Per bloquejar un país, primer necessiteu una llista de totes les adreces IP assignades a aquesta regió. Una de les fonts més fiables i gratuïtes és IPDeny. Proporcionen fitxers de zones agregats i actualitzats sovint.

  1. Navegueu a IPDeny.com (o específicament a la secció “IP Country Blocks”).
  2. Localitzeu el país que voleu bloquejar a la llista.
  3. Baixeu el fitxer de zona (normalment un fitxer .txt) d’aquest país concret.

Nota: Les assignacions IP canvien amb el temps. És important actualitzar aquestes llistes periòdicament per assegurar que no bloquegeu IP legítimes noves ni perdeu les reasignades.

access https://www.ipdeny.com/ipblocks/ to full list

Pas 2: Formatejar les Dades per RouterOS

El fitxer que heu baixat conté una llista en brut de subxarxes IP (per exemple, 1.2.3.0/24), però el vostre router MikroTik espera un format de comandes específic per importar-les. Podem utilitzar un programa de full de càlcul com Excel per automatitzar aquest formatat.

  1. Obriu el vostre programa de fulls de càlcul.
  2. A la Columna B, enganxeu la llista d’adreces IP baixada d’IPDeny.
  3. A la Columna A, escriviu el prefix de la comanda. Introduïu el següent text: ip firewall address-list add list=BlockedCountry address=
  4. A una tercera columna, feu servir una fórmula per combinar-los. Per exemple: =A1 & B1
  5. Arrossegueu aquesta fórmula fins a cobrir totes les files.

Ara teniu una llista completa de comandes CLI llesta per al vostre router.

Spreadsheet formatting IP addresses into MikroTik CLI commands.

Pas 3: Importar la Llista d’Adreces

Amb les comandes preparades, és hora de carregar-les al router. Això crea un grup anomenat d’IPs (una Llista d’Adreces) que podrem utilitzar a les regles.

  1. Copieu les comandes generades de la fulla de càlcul.
  2. Obriu Winbox i accediu al vostre router MikroTik.
  3. Obriu una finestra de Nou Terminal.
  4. Enganxeu les comandes directament al terminal.

Si la llista és molt gran, la processada pot trigar uns segons. Quan acabi, podeu verificar la importació a IP > Firewall > Address Lists. Haureu de veure milers d’entrades amb el nom de la llista que heu triat (p. ex., BlockedCountry).

Pas 4: Crear la Regla de Tallafocs per Bloquejar

Ara que el router sap quines IP pertanyen al país objectiu, li cal que li diguem què fer amb el trànsit cap a aquestes IPs. Crearem una regla de tallafocs perquè rebutgi aquest trànsit.

  1. Anar a IP > Firewall > Filter Rules.
  2. Cliqueu el botó Afegir (+) per crear una nova regla.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Configuració a la Pestanya General:
    • Chain: forward (s’aplica al trànsit que passa a través del router, de la vostra LAN a Internet).
    • In. Interface: Seleccioneu el bridge o interfície de la vostra LAN.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Configuració a la Pestanya Avançat:
    • Dst. Address List: Seleccioneu la llista que heu creat (p. ex., BlockedCountry).
  2. Configuració a la Pestanya Acció:
    • Acció: drop.
Configuration of a firewall drop rule in MikroTik Winbox.

Feu clic a OK per desar. Moveu aquesta regla cap a la part alta de la vostra llista de tallafocs per assegurar que es processi abans que qualsevol regla “acceptar tot”.

Consell: Si voleu bloquejar també el trànsit procedent d’aquest país, podeu crear una segona regla amb la Chain configurada a input (per trànsit cap al router) o forward (per trànsit cap a la vostra LAN) i establir la Src. Address List a la vostra llista de país.

Gestionar amb Facilitat amb NatCloud

Gestionar aquestes llistes manualment en un sol router és factible, però mantenir-les actualitzades en desenes o centenars d’equips és un repte.

NatCloud de MKController us permet gestionar els vostres dispositius MikroTik remotament, fins i tot darrere de CGNAT. Encara que aquest tutorial es centri en la configuració manual, utilitzar una plataforma de gestió centralitzada us ajuda a enviar scripts i actualitzacions a diversos routers a l’instant, garantint que les polítiques de seguretat — com aquests bloquejos geogràfics — estiguin sempre al dia sense haver d’usar fulles de càlcul manualment.

Sobre MKController

Esperem que els consells anteriors us hagin ajudat a navegar millor pel vostre univers MikroTik i Internet! 🚀
Ja sigui afinant configuracions o portant ordre a la bogeria de la xarxa, MKController està aquí per simplificar-vos la vida.

Amb una gestió cloud centralitzada, actualitzacions automàtiques de seguretat i un panell que tothom pot dominar, tenim tot el que necessiteu per fer un salt de qualitat en la vostra operació.

👉 Comenceu la prova gratuïta de 3 dies ara a mkcontroller.com — i descobriu com és realment controlar fàcilment la xarxa.