Gå til indhold
Blog

Sådan Blokerer du Trafik til Specifikke Lande på MikroTik

Resumé Denne vejledning viser, hvordan du blokerer netværkstrafik til specifikke lande ved hjælp af MikroTik RouterOS. Du lærer at hente IP-blokke fra IPDeny, formatere dem til CLI-kommandoer med et regneark og konfigurere en firewall drop-regel til at begrænse adgang til uønskede geografiske områder.

Sådan Blokerer du Trafik til Udvalgte Lande på MikroTik

At styre hvor din netværkstrafik går hen er en central del af moderne netværkssikkerhed. Uanset om du overholder virksomhedspolitikker eller blot vil forhindre brugere i at tilgå servere i højrisko-regioner, er det en effektiv kontrol at blokere trafik efter land.

MikroTik RouterOS har ikke en direkte “Bloker Land X”-knap, men du kan nemt opnå dette ved hjælp af Address Lists og standard Firewall Filters. Denne guide fører dig igennem den manuelle proces med at hente IP-rækker og anvende dem på din router.

Trin 1: Hent IP-Blokkene

For at blokere et land skal du først bruge en liste over alle IP-adresser tildelt den region. En af de mest pålidelige og gratis kilder til disse data er IPDeny. De leverer samlede zonefiler, som opdateres ofte.

  1. Gå til IPDeny.com (eller direkte til deres “IP Country Blocks”-sektion).
  2. Find det land, du ønsker at blokere, i listen.
  3. Download zonefilen (typisk en .txt-fil) for det pågældende land.

Bemærk: IP-tildelinger ændres over tid. Det er vigtigt at opdatere disse lister regelmæssigt for at undgå at blokere nye legitime IP’er eller overse omfordelte adresser.

access https://www.ipdeny.com/ipblocks/ to full list

Trin 2: Formatér Dataene til RouterOS

Den downloadede fil indeholder en rå liste over IP-subnet (fx 1.2.3.0/24), men din MikroTik-router forventer et bestemt kommandoformat for at importere dem. Vi kan bruge et regnearksprogram som Excel til at automatisere denne tekstformatering.

  1. Åbn dit regnearksprogram.
  2. Indsæt listen over IP-adresser fra IPDeny i Kolonne B.
  3. I Kolonne A skriver du kommandoens præfiks:
    ip firewall address-list add list=BlockedCountry address=
  4. I en tredje kolonne kombinerer du dem med en formel, fx:
    =A1 & B1
  5. Træk formlen ned for alle rækker.

Du har nu en komplet liste CLI-kommandoer klar til din router.

Spreadsheet formatting IP addresses into MikroTik CLI commands.

Trin 3: Importer Address List

Når kommandoerne er klar, kan du indlæse dem på routeren. Det opretter en navngivet gruppe IP’er (en Address List), som vi kan bruge i vores regler.

  1. Kopiér kommandoerne fra regnearket.
  2. Åbn Winbox og forbind til din MikroTik-router.
  3. Åbn et Nyt Terminal-vindue.
  4. Indsæt kommandoerne direkte i terminalen.

Hvis listen er omfattende, tager indsætningen måske nogle sekunder. Når processen er færdig, kan du bekræfte importen under IP > Firewall > Address Lists. Du skal se tusindvis af poster med det valgte listenavn (fx BlockedCountry).

Trin 4: Opret Drop-Reglen

Routeren kender nu IP’erne for det valgte land. Du skal fortælle den, hvad den skal gøre med trafik rettet mod disse IP’er. Vi opretter en firewall filterregel, som dropper denne trafik.

  1. Gå til IP > Firewall > Filter Rules.
  2. Klik på Tilføj (+) for at oprette en ny regel.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Generel-fanen:
    • Chain: forward (Denne gælder for trafik, som passerer igennem routeren fra dit LAN til internettet).
    • Indgående Interface: Vælg din LAN-bro eller interface.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Avanceret-fanen:
    • Dst. Address List: Vælg den liste, du oprettede (fx BlockedCountry).
  2. Handling-fanen:
    • Handling: drop.
Configuration of a firewall drop rule in MikroTik Winbox.

Klik OK for at gemme. Flyt reglen højt op i firewall-listen, så den behandles før eventuelle “accept all”-regler.

Tip: Vil du også blokere trafik fra det land, kan du lave en ekstra regel med Chain sat til input (til routeren) eller forward (til LAN) og sætte Src. Address List til dit lande-liste.

Forenkling med NatCloud

Manuel styring af lister på én router er overskueligt, men at opdatere mange enheder på tværs af netværket er en udfordring.

NatCloud fra MKController lader dig administrere MikroTik-enheder eksternt, også bag CGNAT. Selvom denne guide fokuserer på manuel opsætning, hjælper en central platform med at rulle scripts og konfigurationsopdateringer ud til mange routere på samme tid. Det sikrer, at dine sikkerhedspolitikker—inklusive geoblokeringer—altid holdes opdaterede uden manuelt regnearksarbejde.

Om MKController

Vi håber, at ovenstående vejledning gør det lettere at navigere dit MikroTik- og internetunivers! 🚀
Uanset om du finjusterer konfigurationer eller ønsker mere orden i netværks-kaosset, er MKController den hjælp, du har brug for.

Med centraliseret cloud-styring, automatiske sikkerhedsopdateringer og en brugervenlig dashboard har vi det, der skal til for at opgradere din drift.

👉 Start din gratis 3-dages prøve numkcontroller.com — og oplev, hvordan nem netværkskontrol virkelig ser ud.