Bloquear Tráfico por País en MikroTik

Resumen MikroTik RouterOS no incluye un interruptor para “bloquear país X”, pero puedes implementar el bloqueo geográfico de forma limpia con los archivos de zona de IPDeny, una Address List y una única regla de filtro de firewall. Esta guía recorre los cuatro pasos: descargar la lista de bloqueo del país, formatearla para RouterOS, importarla por el terminal de Winbox y crear la regla de drop. El resultado bloquea todo el tráfico hacia (o desde) el país elegido con una sola regla y se actualiza fácilmente cuando cambian las asignaciones de IP.

¿Cómo bloquear tráfico por país en MikroTik?

Para bloquear tráfico a un país concreto en MikroTik, se construye una lista de direcciones con cada bloque de IP asignado a ese país y se añade una regla de drop en el firewall que coincida con dicha lista. RouterOS no trae un botón “Bloquear país X”, pero la combinación de Address Lists y Firewall Filters reproduce esa funcionalidad con una sola regla de drop y una lista que puedes refrescar trimestralmente.

La fuente de datos es la pieza clave. IPDeny publica archivos de zona por país, agregados, actualizados con frecuencia y de forma gratuita, así que no tienes que mantener las asignaciones de IP por tu cuenta. El flujo es: descarga el archivo de zona, pégalo en una hoja de cálculo que prefije cada línea con un comando RouterOS, pega los comandos resultantes en el terminal del router y, por último, añade una regla de filtro que descarte cualquier coincidencia con la lista. Todo el proceso lleva unos quince minutos por país una vez que lo has hecho una vez.

Paso 1: Obtener los bloques de IP en IPDeny

Los archivos de zona de IPDeny son bloques CIDR agregados por país, actualizados con regularidad.

1. Abre ipdeny.com y ve a la sección IP Country Blocks.
2. Localiza el país que quieres bloquear.
3. Descarga el archivo de zona — normalmente un .txt con un bloque CIDR por línea (por ejemplo, 1.2.3.0/24).

Las asignaciones de IP cambian con el tiempo a medida que los operadores transfieren bloques entre regiones. Planifica refrescar la lista cada trimestre para no terminar bloqueando IPs legítimas nuevas ni dejando pasar reasignaciones.

Paso 2: Formatear los datos para RouterOS

El archivo de zona trae solo los CIDR en bruto; el router espera que cada línea sea un comando RouterOS completo. Una hoja de cálculo resuelve el formato limpiamente:

1. Abre Excel, Google Sheets o LibreOffice Calc.
2. En la Columna B, pega la lista de CIDR del archivo de zona.
3. En la Columna A, introduce el prefijo de comando en cada fila: /ip firewall address-list add list=BlockedCountry address=
4. En la Columna C, usa una fórmula de concatenación para combinar: =A1 & B1
5. Arrastra la fórmula hacia abajo para cubrir todas las filas.

La Columna C contiene ahora una lista completa de comandos RouterOS, uno por bloque CIDR, listos para pegar en el router.

Paso 3: Importar la lista de direcciones

1. Copia los comandos generados en la Columna C de la hoja de cálculo.
2. Abre Winbox y conéctate al router MikroTik.
3. Abre una ventana New Terminal.
4. Pega los comandos. Para un archivo de zona grande, el pegado puede tardar varios segundos en procesarse — déjalo terminar.

Verifica la importación abriendo IP → Firewall → Address Lists. Deberías ver miles de entradas bajo el nombre de la lista (BlockedCountry). Si el conteo es mucho menor que el número de líneas del archivo de zona, revisa problemas de formato en la hoja — espacios extra o prefijos faltantes provocan fallos silenciosos durante el pegado.

Paso 4: Crear la regla de drop del firewall

Ahora le indicas al router qué hacer con el tráfico que coincide con la lista.

1. Ve a IP → Firewall → Filter Rules.
2. Pulsa + para crear una nueva regla.

Pestaña General:

• Chain: forward (tráfico que atraviesa el router, de LAN a internet)
• In. Interface: el bridge o la interfaz LAN

Pestaña Advanced:

• Dst. Address List: BlockedCountry

Pestaña Action:

• Action: drop

Pulsa OK. Mueve la regla hacia arriba en la lista de filtros del firewall — habitualmente cerca del inicio de la chain forward — para que se procese antes que cualquier regla accept all que de otra forma haría cortocircuito.

Para bloquear también el tráfico proveniente de ese país, crea una segunda regla con Chain: input (para tráfico destinado al propio router) o Chain: forward (para tráfico destinado a tu LAN) y configura la Src. Address List como BlockedCountry. Las dos reglas juntas proporcionan bloqueo geográfico completamente bidireccional.

Para controles complementarios de firewall y acceso, consulta nuestras guías de configuración de NAT en MikroTik y bloqueo DNS con AdList en MikroTik.

Consejos

• Usa un nombre de address-list distinto por país (BlockedCountry_CN, BlockedCountry_RU) cuando bloquees varias regiones. Hace mucho más fácil auditar el conjunto de reglas después.
• Programa un script trimestral que vuelva a descargar los archivos de zona y refresque la lista de direcciones. Los conjuntos de reglas “set-and-forget” se desactualizan rápido a medida que cambian las asignaciones.
• Registra el tráfico descartado en la regla del firewall (en la pestaña Action, habilita log con un prefijo) durante la primera semana. El volumen indica si la política está haciendo un trabajo útil o bloqueando nada silenciosamente.

Da el siguiente paso

Mantener listas de bloqueo por país en un solo MikroTik es viable con una hoja de cálculo y un recordatorio trimestral. Hacerlo en decenas o cientos de routers — cada uno potencialmente con políticas de países ligeramente distintas para distintos clientes — es donde el enfoque manual se desmorona.

MKController distribuye las mismas address lists y reglas de firewall a todos los routers de tu inventario, refresca los datos de IPDeny de forma centralizada y revela la deriva entre las plantillas de política y lo que realmente hay en cada dispositivo. NATCloud resuelve el acceso remoto cuando CGNAT o firewalls estrictos del cliente bloquearían la gestión directa.

Inicia tu prueba gratuita de MKController