Saltearse al contenido
Blog

Cómo bloquear tráfico a países específicos en MikroTik

Resumen Esta guía muestra cómo bloquear tráfico de red a países específicos usando MikroTik RouterOS. Aprenderás a obtener bloques IP desde IPDeny, formatearlos en comandos CLI con una hoja de cálculo y configurar una regla firewall para restringir acceso a regiones geográficas no deseadas.

Cómo bloquear tráfico a países específicos en MikroTik

Gestionar hacia dónde se dirige el tráfico de tu red es fundamental para la seguridad moderna. Ya sea para cumplir políticas corporativas o evitar accesos a servidores en regiones de riesgo, bloquear tráfico por país es un control muy efectivo.

Aunque MikroTik RouterOS no tiene un botón incorporado para “Bloquear país X”, puedes lograrlo usando Listas de Direcciones y Filtros Firewall estándar. Este tutorial te guía en el proceso manual para recopilar rangos IP y aplicarlos en tu router.

Paso 1: Obtener los bloques IP

Para bloquear un país, primero necesitas una lista de todas las IP asignadas a esa región. Una fuente confiable y gratuita es IPDeny, que ofrece archivos de zona actualizados frecuentemente.

  1. Accede a IPDeny.com (o a su sección “IP Country Blocks”).
  2. Localiza el país que quieres bloquear en la lista.
  3. Descarga el archivo de zona (habitualmente un .txt) para ese país.

Nota: Las asignaciones IP cambian con el tiempo. Actualiza estas listas periódicamente para evitar bloquear IP legítimas nuevas o perder IP reasignadas.

access https://www.ipdeny.com/ipblocks/ to full list

Paso 2: Formatear datos para RouterOS

El archivo descargado contiene una lista de subredes IP (por ejemplo, 1.2.3.0/24), pero tu MikroTik espera comandos en un formato específico para importarlos. Puedes usar una hoja de cálculo como Excel para automatizar el formateo.

  1. Abre tu programa de hojas de cálculo.
  2. En la Columna B, pega la lista de IP descargada de IPDeny.
  3. En la Columna A, escribe el prefijo del comando: ip firewall address-list add list=BlockedCountry address=
  4. En una tercera columna, usa una fórmula para combinarlos, por ejemplo: =A1 & B1
  5. Arrastra la fórmula para cubrir todas las filas.

Ahora tienes una lista completa de comandos CLI para tu router.

Spreadsheet formatting IP addresses into MikroTik CLI commands.

Paso 3: Importar la lista de direcciones

Con los comandos listos, es hora de cargarlos en el router. Esto crea un grupo nombrado de IPs (Lista de Direcciones) que podemos referenciar en reglas.

  1. Copia los comandos generados desde la hoja de cálculo.
  2. Abre Winbox y conecta a tu MikroTik.
  3. Abre una ventana de Nueva Terminal.
  4. Pega los comandos directamente en la terminal.

Si la lista es muy grande, el pegado puede tardar unos segundos. Luego verifica en IP > Firewall > Address Lists; deberías ver miles de entradas bajo el nombre elegido (ej. BlockedCountry).

Paso 4: Crear la regla de bloqueo

Con el router identificado qué IP pertenecen al país, indica qué hacer con el tráfico dirigido allí. Creamos una regla firewall para bloquearlo.

  1. Ve a IP > Firewall > Filter Rules.
  2. Haz clic en Agregar (+) para crear una nueva regla.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Pestaña General:
    • Chain: forward (Aplica al tráfico que pasa a través del router, de tu LAN hacia Internet).
    • In. Interface: Selecciona tu bridge o interfaz LAN.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Pestaña Advanced:
    • Dst. Address List: Selecciona la lista creada (ej. BlockedCountry).
  2. Pestaña Action:
    • Action: drop.
Configuration of a firewall drop rule in MikroTik Winbox.

Haz clic en OK para guardar. Coloca esta regla en una posición alta para que se procese antes que cualquier regla “accept all”.

Consejo: Para bloquear tráfico desde ese país, crea otra regla con Chain en input (tráfico al router) o forward (tráfico a tu LAN) y configura Src. Address List con la lista.

Simplificar gestión con NatCloud

Administrar estas listas manualmente en un router es viable, pero mantenerlas actualizadas en decenas o cientos es un reto.

NatCloud de MKController permite gestionar remotamente dispositivos MikroTik, incluso detrás de CGNAT. Este tutorial aborda la configuración manual, pero una plataforma centralizada ayuda a enviar scripts y actualizaciones a múltiples routers, manteniendo tus políticas de seguridad como estos bloqueos geográficos siempre actualizadas sin trabajo manual.

Sobre MKController

¡Esperamos que los consejos te ayuden a manejar mejor tu universo MikroTik e Internet! 🚀
Ya sea afinando configuraciones o poniendo orden en el caos de la red, MKController está aquí para simplificarte la vida.

Con gestión en la nube, actualizaciones automáticas de seguridad y un panel intuitivo, tenemos lo que necesitas para optimizar tu operación.

👉 Comienza tu prueba gratuita de 3 días en mkcontroller.com — y descubre cómo es un control de red sin esfuerzo.