Skip to content
Blog

Kuinka estää liikenne tietyistä maista MikroTikillä

Yhteenveto Tämä opas näyttää, miten estät verkon liikenteen tietyistä maista MikroTik RouterOS:llä. Opit hankkimaan IP-lohkoja IPDenyltä, muotoilemaan ne CLI-komennoiksi taulukkolaskentaohjelmalla ja määrittämään palomuurisäännön estämään pääsyn ei-toivottuihin alueisiin.

Kuinka estää liikenne tietyistä maista MikroTikillä

Liikenteen ohjaaminen verkossasi on olennainen osa nykyaikaista tietoturvaa. Haluatpa nousta yrityksen sääntöihin tai estää pääsyn riskialttiille palvelimille, maakohtainen liikenteen esto on tehokas keino.

Vaikka MikroTik RouterOS:ssa ei ole valmista “Estä maa X” -painiketta, voit käyttää tehokkaasti Osoitelistat ja tavalliset Palomuurisuodattimet. Tämä opas vie sinut läpi manuaalisen prosessin IP-alueiden keruusta niiden soveltamiseen reitittimessäsi.

Vaihe 1: IP-lohkojen hankinta

Estääksesi maan, tarvitset ensin luettelon kaikista kyseiseen alueeseen kuuluvista IP-osoitteista. Yksi luotettavimmista ja ilmaisista lähteistä on IPDeny. He tarjoavat usein päivitettyjä yhdistettyjä alue-tiedostoja.

  1. Siirry osoitteeseen IPDeny.com (tai tarkemmin “IP Country Blocks” -osioon).
  2. Etsi estettävä maa listalta.
  3. Lataa kyseisen maan alueen tiedosto (yleensä .txt-tiedosto).

Huom: IP-osoitteet voivat muuttua ajan myötä. On tärkeää päivittää nämä listat säännöllisesti, jottei estäisi uusia oikeutettuja IP-osoitteita tai unohtaisi muutettuja osoitteita.

access https://www.ipdeny.com/ipblocks/ to full list

Vaihe 2: Datan muotoilu RouterOS:lle

Lataamasi tiedosto sisältää raakaluettelon IP-aliverkoista (esim. 1.2.3.0/24), mutta MikroTikisi odottaa tiettyä komentomuotoa tuonnissa. Voimme käyttää taulukkolaskentaohjelmaa, kuten Exceliä, automatisoidaksemme tämän tekstimuotoilun.

  1. Avaa taulukkolaskentaohjelmasi.
  2. Liitä Sarakkeeseen B IP-osoitelistasi, jonka latasit IPDenyltä.
  3. Sarakkeeseen A kirjoitetaan komennon alkuosa. Anna tämä teksti: ip firewall address-list add list=BlockedCountry address=
  4. Kolmannessa sarakkeessa yhdistetään tekstit kaavalla, esimerkiksi: =A1 & B1
  5. Vedä kaava alas kaikkien rivien kohdalle.

Nyt sinulla on täydellinen lista CLI-komentoja valmiina reitittimellesi.

Spreadsheet formatting IP addresses into MikroTik CLI commands.

Vaihe 3: Osoitelistojen tuonti

Kun komennot ovat valmiina, lataa ne reitittimeen. Tämä luo nimellä tunnistetun IP-osoitelistaryhmän, jota voimme käyttää säännöissämme.

  1. Kopioi taulukosta luodut komennot.
  2. Avaa Winbox ja kirjaudu MikroTik-reitittimeesi.
  3. Avaa Uusi pääteikkuna (New Terminal).
  4. Liitä komennot suoraan terminaaliin.

Jos lista on suuri, liittämiseen voi mennä muutama sekunti. Valmiina voit tarkistaa tuonnin menemällä IP > Firewall > Address Lists -kohtaan. Näet tuhansia merkintöjä valitun listan nimellä (esim. BlockedCountry).

Vaihe 4: Pudotussäännön luominen

Nyt kun reititin tietää IP-osoitteet, jotka kuuluvat kohdemaan alueelle, sinun on määritettävä, mitä tehdä tätä liikennettä varten. Luomme palomuurisäännön, joka hylkää tämän liikenteen.

  1. Mene kohtaan IP > Firewall > Filter Rules.
  2. Klikkaa Lisää (+) luodaksesi uuden säännön.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Yleiset-välilehden asetukset:
    • Chain: forward (soveltuu liikenteeseen, joka kulkee reitittimen läpi LAN:iltasi Internetiin).
    • Sisäänt. käyttöliittymä: Valitse LAN-silta tai käyttämäsi liitäntä.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Lisäasetukset-välilehti:
    • Kohteen osoitelistat (Dst. Address List): Valitse aiemmin luotu lista (esim. BlockedCountry).
  2. Toiminto-välilehti:
    • Toiminto (Action): drop.
Configuration of a firewall drop rule in MikroTik Winbox.

Tallenna klikkaamalla OK. Siirrä sääntö palomuurilistan alkuun, jotta se käsitellään ennen muita “hyväksy kaikki” -sääntöjä.

Vinkki: Jos haluat estää myös liikenteen maalta tulevan, voit luoda toisen säännön ketjun ollessa input (reitittimelle saapuva liikenne) tai forward (LANiin menevä liikenne) ja asettaa Lähteen osoitelistaksi (Src. Address List) kyseisen maan listan.

Hallinnan yksinkertaistus NatCloudilla

Näiden listojen manuaalinen ylläpito yhdellä reitittimellä on mahdollista, mutta kymmenien tai satojen laitteiden päivittäminen on haastavaa.

NatCloud MKControllerilta tarjoaa etähallinnan MikroTik-laitteillesi, jopa CGNATin takaa. Vaikka tämä opas keskittyy manuaaliseen konfigurointiin, keskitetty hallinta-alusta mahdollistaa skriptien ja päivitysten jakamisen useille reitittimille nopeasti, pitäen tietoturvapolitiikkasi—kuten nämä maakohtaiset estot—aina ajan tasalla ilman manuaalista taulukointia.

Tietoja MKControllerista

Toivottavasti yllä olevat vinkit auttoivat sinua navigoimaan MikroTik- ja Internet-maailmassasi paremmin! 🚀
Hienosäätöä tai verkon hallinnan järjestämistä, MKController tekee elämästäsi helpompaa.

Keskitetyn pilvihallinnan, automaattisten tietoturvapäivitysten ja helppokäyttöisen hallintapaneelin avulla meillä on ratkaisu verkkojesi hallinnan uudistamiseen.

👉 Aloita ilmainen 3 päivän kokeilu nyt osoitteessa mkcontroller.com – ja näe, mitä vaivaton verkkohallinta tarkoittaa.