Skip to content
MKController Blog
InstagramYouTubeFacebook

Tutorial

Αποκλεισμός Κίνησης ανά Χώρα στο MikroTik

Αποκλείστε την κίνηση προς ή από συγκεκριμένες χώρες σε δρομολογητές MikroTik χρησιμοποιώντας λίστες διευθύνσεων IPDeny και έναν κανόνα drop τείχους προστασίας.

MKController5 min read

Σύνοψη Το RouterOS του MikroTik δεν διαθέτει ενσωματωμένη λειτουργία “αποκλεισμού χώρας X”, αλλά μπορείτε να εφαρμόσετε γεωγραφικό αποκλεισμό καθαρά χρησιμοποιώντας αρχεία ζώνης IPDeny, μια Λίστα Διευθύνσεων και έναν κανόνα drop τείχους προστασίας. Αυτός ο οδηγός περιηγείται στα τέσσερα βήματα: κατεβάστε τη λίστα αποκλεισμού χώρας, μορφοποιήστε την για RouterOS, εισαγάγετε μέσω του τερματικού Winbox και δημιουργήστε τον κανόνα drop. Το αποτέλεσμα αποκλείει όλη την κίνηση προς (ή από) τη επιλεγμένη χώρα με έναν κανόνα και ενημερώνεται εύκολα καθώς οι εκχορήσεις IP αλλάζουν.

Πώς αποκλείνετε την κίνηση χώρας στο MikroTik;

Για να αποκλείσετε την κίνηση προς μια συγκεκριμένη χώρα στο MikroTik, δημιουργείτε μια λίστα διευθύνσεων όλων των μπλοκ IP που έχουν εκχωρηθεί σε αυτή τη χώρα και στη συνέχεια προσθέτετε έναν κανόνα drop τείχους προστασίας που ταιριάζει με τη λίστα διευθύνσεων. Το RouterOS δεν παρέχει ένα κουμπί “Αποκλεισμός Χώρας X”, αλλά ο συνδυασμός Λιστών Διευθύνσεων και Φίλτρων Τείχους Προστασίας αναπαράγει την ίδια λειτουργικότητα με έναν κανόνα drop και μια λίστα που μπορείτε να ανανεώσετε τριμηνιαία.

Η πηγή δεδομένων είναι το κύριο στοιχείο. Το IPDeny δημοσιεύει συγκεντρωτικά αρχεία ζώνης χώρας που ενημερώνονται τακτικά και είναι δωρεάν, επομένως δεν χρειάζεται να διατηρήσετε τις εκχορήσεις IP μόνοι σας. Η ροή εργασίας είναι: κατεβάστε το αρχείο ζώνης, επικολλήστε το σε ένα υπολογιστικό φύλλο που προθέτει κάθε γραμμή με μια εντολή RouterOS, επικολλήστε τις εντολές που προκύπτουν στο τερματικό του δρομολογητή και στη συνέχεια προσθέστε έναν κανόνα φίλτρου τείχους προστασίας που απορρίπτει ό,τι ταιριάζει με τη λίστα διευθύνσεων. Όλο το πράγμα διαρκεί περίπου δεκαπέντε λεπτά ανά χώρα μόλις το κάνετε μία φορά.

Βήμα 1: Λάβετε τα μπλοκ IP από το IPDeny

Τα αρχεία ζώνης χώρας στο IPDeny είναι συγκεντρωτικά μπλοκ CIDR ανά χώρα, ενημερωμένα σε τακτικό πρόγραμμα.

  1. Ανοίξτε το ipdeny.com και πλοηγηθείτε στην ενότητα IP Country Blocks.
  2. Εντοπίστε τη χώρα που θέλετε να αποκλείσετε.
  3. Κατεβάστε το αρχείο ζώνης — συνήθως ένα αρχείο .txt που περιέχει ένα μπλοκ CIDR ανά γραμμή (π.χ., 1.2.3.0/24).

Οι εκχορήσεις IP αλλάζουν με την πάροδο του χρόνου καθώς οι φορείς μεταφέρουν μπλοκ μεταξύ περιοχών. Σχεδιάστε να ανανεώσετε τη λίστα τριμηνιαία ώστε να μην καταλήξετε να αποκλείνετε νέες νόμιμες διευθύνσεις IP ή να χάσετε αναντιστοιχίες.

IPDeny country IP blocks page with downloadable zone files

Βήμα 2: Μορφοποιήστε τα δεδομένα για RouterOS

Το αρχείο ζώνης είναι ακατέργαστα CIDRs. Ο δρομολογητής αναμένει κάθε γραμμή να είναι μια πλήρης εντολή RouterOS. Ένα υπολογιστικό φύλλο χειρίζεται τη μορφοποίηση καθαρά:

  1. Ανοίξτε το Excel, Google Sheets ή LibreOffice Calc.
  2. Στη Στήλη B, επικολλήστε τη λίστα CIDR από το αρχείο ζώνης.
  3. Στη Στήλη A, εισάγετε το πρόθεμα εντολής για κάθε γραμμή: /ip firewall address-list add list=BlockedCountry address=
  4. Στη Στήλη C, χρησιμοποιήστε έναν τύπο συνένωσης για να συνδυάσετε: =A1 & B1
  5. Σύρετε τον τύπο προς τα κάτω για να καλύψετε κάθε γραμμή.

Η Στήλη C περιέχει τώρα μια πλήρη λίστα εντολών RouterOS, μία ανά μπλοκ CIDR, έτοιμη να επικολληθεί στο δρομολογητή.

Spreadsheet generating RouterOS address-list commands from IPDeny zone data

Βήμα 3: Εισαγάγετε τη λίστα διευθύνσεων

  1. Αντιγράψτε τις δημιουργηθείσες εντολές από τη Στήλη C στο υπολογιστικό φύλλο.
  2. Ανοίξτε το Winbox και συνδεθείτε με το δρομολογητή MikroTik.
  3. Ανοίξτε ένα παράθυρο New Terminal.
  4. Επικολλήστε τις εντολές. Για ένα μεγάλο αρχείο ζώνης χώρας, η επικόλληση μπορεί να διαρκέσει αρκετά δευτερόλεπτα για επεξεργασία — αφήστε την να ολοκληρωθεί.

Επαληθεύστε την εισαγωγή ανοίγοντας το IP → Firewall → Address Lists. Θα πρέπει να δείτε χιλιάδες καταχωρήσεις με το όνομα λίστας (BlockedCountry). Εάν ο αριθμός φαίνεται δραματικά χαμηλότερος από το αριθμό γραμμών του αρχείου ζώνης, ελέγξτε για θέματα μορφοποίησης υπολογιστικού φύλλου — επιπλέον κενά ή ελλιπή προθέματα θα προκαλέσουν αθόρυβες αστοχίες κατά την επικόλληση.

Βήμα 4: Δημιουργήστε τον κανόνα drop του τείχους προστασίας

Τώρα πείτε στο δρομολογητή τι να κάνει με την κίνηση που ταιριάζει με τη λίστα.

  1. Πηγαίνετε στο IP → Firewall → Filter Rules.
  2. Κάντε κλικ στο + για να δημιουργήσετε έναν νέο κανόνα.
MikroTik Winbox firewall filter rules panel with the add-rule button

Κάρτα General:

  • Chain: forward (κίνηση που διέρχεται από το δρομολογητή, LAN σε διαδίκτυο)
  • In. Interface: η γέφυρα LAN ή διεπαφή
Firewall rule General tab with forward chain and LAN interface selected

Κάρτα Advanced:

  • Dst. Address List: BlockedCountry

Κάρτα Action:

  • Action: drop
Firewall rule Action tab set to drop

Κάντε κλικ στο OK. Μετακινήστε τον κανόνα ψηλά στη λίστα φίλτρου τείχους προστασίας — συνήθως κοντά στην κορυφή της αλυσίδας forward — ώστε να επεξεργάζεται πριν από τυχόν κανόνες accept all που διαφορετικά θα τον σύντομευαν.

Για αποκλεισμό κίνησης που προέρχεται από αυτή τη χώρα επίσης, δημιουργήστε έναν δεύτερο κανόνα με Chain: input (για κίνηση προορισμένη για το ίδιο το δρομολογητή) ή Chain: forward (για κίνηση προορισμένη για το LAN σας) και ορίστε τη Src. Address List σε BlockedCountry. Οι δύο κανόνες μαζί σας δίνουν πλήρως διδιάστατο γεωγραφικό αποκλεισμό.

Για συμπληρωματικούς ελέγχους τείχους προστασίας και πρόσβασης, ανατρέξτε στους οδηγούς μας για Ρύθμιση NAT MikroTik και Αποκλεισμός DNS AdList MikroTik.

Συμβουλές

  • Χρησιμοποιήστε ένα διαφορετικό όνομα address-list ανά χώρα (BlockedCountry_CN, BlockedCountry_RU) όταν αποκλείνετε πολλές περιοχές. Κάνει την ελεγχόμενη σύνολο κανόνων πολύ ευκολότερη αργότερα.
  • Προγραμματίστε ένα τριμηνιαίο σενάριο που κατεβάζει ξανά τα αρχεία ζώνης και ανανεώνει τη λίστα διευθύνσεων. Τα σύνολα κανόνων Set-and-forget παρασύρονται γρήγορα καθώς οι εκχορήσεις αλλάζουν.
  • Καταγράψτε την απορριφθείσα κίνηση στον κανόνα τείχους προστασίας (κάτω από την κάρτα Action, ενεργοποιήστε το log με ένα πρόθεμα) για την πρώτη εβδομάδα. Ο όγκος σας λέει αν η πολιτική κάνει χρήσιμο έργο ή αθόρυβα αποκλείει τίποτα.

Κάντε το επόμενο βήμα

Η διατήρηση λιστών αποκλεισμού χώρας σε ένα MikroTik είναι εφικτή με ένα υπολογιστικό φύλλο και ένα τριμηνιαίο υπενθύμιση ημερολογίου. Η διατήρησή τους σε δεκάδες ή εκατοντάδες δρομολογητές — καθένας ενδεχομένως χρειάζεται ελαφρώς διαφορετικές πολιτικές χώρας για διαφορετικούς πελάτες — είναι όπου η χειροκίνητη προσέγγιση κατρακυλά.

Το MKController πιέζει τις ίδιες λίστες διευθύνσεων και κανόνες τείχους προστασίας σε κάθε δρομολογητή στο ευρετήρια σας, ανανεώνει τα δεδομένα IPDeny κεντρικά και εμφανίζει την ολίσθηση μεταξύ προτύπων πολιτικής και του τι είναι πραγματικά σε κάθε συσκευή. Το NATCloud χειρίζεται το τμήμα πρόσβασης σε απόσταση όταν CGNAT ή αυστηρά τείχη προστασίας πελατών θα αποκλείαν διαφορετικά την άμεση διαχείριση.

Ξεκινήστε δωρεάν δοκιμή MKController