Přeskočit na obsah
Blog

Jak blokovat provoz do konkrétních zemí na MikroTik

Shrnutí Tento návod ukazuje, jak zablokovat síťový provoz do konkrétních zemí pomocí MikroTik RouterOS. Naučíte se získávat IP bloky z IPDeny, formátovat je do CLI příkazů pomocí tabulek a nastavit pravidlo firewallu pro omezení přístupu do nechtěných geografických oblastí.

Jak blokovat provoz do konkrétních zemí na MikroTik

Řízení směru síťového provozu je zásadní součástí moderní bezpečnosti sítě. Ať už dodržujete firemní pravidla, nebo chcete zabránit uživatelům přistupovat na servery v rizikových regionech, blokování provozu podle země je silný nástroj.

MikroTik RouterOS nemá tlačítko „Blokovat zemi X“, ale dosáhnete stejného efektu pomocí adresních seznamů a standardních firewall filtrů. Tento tutoriál vás provede manuálním procesem získání IP rozsahů a jejich nasazením do routeru.

Krok 1: Získání IP bloků

Pro zablokování země potřebujete seznam všech IP adres přiřazených danému regionu. Jedním z nejspolehlivějších a zdarma dostupných zdrojů je IPDeny, kde najdete často aktualizované agregované zónové soubory.

  1. Přejděte na IPDeny.com (nebo přímo do sekce „IP Country Blocks“).
  2. Najděte zemi, kterou chcete zablokovat.
  3. Stáhněte si zónový soubor (obvykle .txt) pro vybranou zemi.

Poznámka: IP alokace se časem mění. Je důležité pravidelně tyto seznamy aktualizovat, abyste neblokovali nové legitimní IP adresy nebo nepřehlédli přerozdělení starých.

access https://www.ipdeny.com/ipblocks/ to full list

Krok 2: Formátování dat pro RouterOS

Stažený soubor obsahuje čistý seznam IP podsítí (např. 1.2.3.0/24), ale váš MikroTik router očekává speciální formát příkazu pro import. Použijeme tabulkový procesor jako Excel k automatizaci formátování textu.

  1. Otevřete tabulkový editor.
  2. Do sloupce B vložte seznam IP adres stažený z IPDeny.
  3. Do sloupce A napište předponu příkazu:
    ip firewall address-list add list=BlockedCountry address=
  4. V třetím sloupci spojte text pomocí vzorce:
    =A1 & B1
  5. Táhněte vzorec dolů, aby pokryl všechny řádky.

Nyní máte kompletní seznam CLI příkazů připravených pro router.

Spreadsheet formatting IP addresses into MikroTik CLI commands.

Krok 3: Import adresního seznamu

S připravenými příkazy je čas je nahrát do routeru. Vytvoříte tak pojmenovanou skupinu IP (Adresní seznam), kterou můžeme v pravidlech odkazovat.

  1. Zkopírujte vygenerované příkazy z tabulky.
  2. Otevřete Winbox a připojte se k MikroTiku.
  3. Otevřete nové okno Terminálu.
  4. Příkazy vložte přímo do terminálu.

Pokud je seznam velký, příjem může chvíli trvat. Po dokončení ověřte import v IP > Firewall > Address Lists. Měli byste vidět tisíce položek v seznamu, který jste vytvořili (např. BlockedCountry).

Krok 4: Vytvoření pravidla pro zahození paketů

Router nyní ví, které IP patří do cílové země, zbývá mu říct, co s tímto provozem provést. Vytvoříme pravidlo firewallu, které tento provoz zahodí.

  1. Přejděte do IP > Firewall > Filter Rules.
  2. Klikněte na tlačítko Přidat (+) pro nové pravidlo.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Nastavení karta Obecné:
    • Řetězec (Chain): forward (platí pro provoz procházející routerem, z LAN do internetu).
    • Příchozí rozhraní: Vyberte svůj LAN bridge nebo rozhraní.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Nastavení karta Pokročilé:
    • Cílový adresní seznam (Dst. Address List): Vyberte seznam, který jste vytvořili (např. BlockedCountry).
  2. Nastavení karta Akce:
    • Akce (Action): drop.
Configuration of a firewall drop rule in MikroTik Winbox.

Klikněte na OK pro uložení. Pravidlo přesuňte co nejvýše v seznamu firewallu, aby bylo zpracováno před jinými „přijímat všem“ pravidly.

Tip: Pokud chcete blokovat také provoz pocházející z té země, vytvořte druhé pravidlo se řetězcem input (pro provoz směrem na router) nebo forward (pro provoz směrem do LAN) a nastavte Zdrojový adresní seznam (Src. Address List) na váš seznam země.

Zjednodušení správy pomocí NatCloud

Ruční správa těchto seznamů na jednom routeru je možná, ale u desítek či stovek zařízení už je to problém.

NatCloud od MKController umožňuje vzdálenou správu MikroTik zařízení, i za CGNAT. Zatímco tento návod ukazuje manuální nastavení, použití centralizované platformy vám umožní nasazovat skripty a aktualizace konfigurace na více routerech najednou, což zajistí aktuálnost bezpečnostních pravidel, jako jsou tyto geografické blokace, bez nutnosti ruční práce v tabulkách.

O MKController

Doufáme, že vám výše uvedené informace pomohly lépe se orientovat ve světě MikroTik a internetu! 🚀
Ať už dolaďujete konfigurace, nebo chcete nastolit pořádek v síťovém chaosu, MKController je tu, aby vám usnadnil život.

S centralizovanou správou v cloudu, automatickými bezpečnostními aktualizacemi a dashboardem, který zvládne každý, máme vše, co potřebujete k vylepšení vaší správy.

👉 Zahajte nyní 3denní bezplatnou zkušební verzi na mkcontroller.com — a zažijte, jak vypadá snadná kontrola sítě.