Aller au contenu
Blog

Comment Bloquer le Trafic vers des Pays Spécifiques sur MikroTik

Résumé Ce guide explique comment bloquer le trafic réseau vers des pays ciblés en utilisant MikroTik RouterOS. Vous apprendrez à extraire les blocs IP depuis IPDeny, à les formater avec un tableur en commandes CLI, puis à configurer une règle de pare-feu pour restreindre l’accès à certaines zones géographiques.

Comment Bloquer le Trafic vers des Pays Spécifiques sur MikroTik

Maîtriser la destination du trafic réseau est essentiel en sécurité réseau moderne. Que ce soit pour respecter des politiques d’entreprise ou empêcher l’accès à des serveurs dans des régions à risque, bloquer le trafic par pays est un contrôle puissant.

Même si MikroTik RouterOS ne possède pas un bouton « Bloquer Pays X », cela s’obtient aisément via les Listes d’Adresses et les Filtres de Pare-feu standards. Ce tutoriel vous guide pas à pas dans la collecte des plages IP et leur application sur votre routeur.

Étape 1 : Obtenir les Blocs IP

Pour bloquer un pays, commencez par obtenir la liste complète des adresses IP assignées à cette zone. Une source fiable et gratuite est IPDeny, qui fournit des fichiers de zones actualisés régulièrement.

  1. Rendez-vous sur IPDeny.com (plus précisément dans la section « IP Country Blocks »).
  2. Trouvez le pays à bloquer dans la liste.
  3. Téléchargez le fichier de zone (souvent un .txt) correspondant.

Note : Les attributions IP évoluent avec le temps. Pensez à mettre à jour périodiquement ces listes pour ne pas bloquer d’IP légitimes récentes ou manquer des changements.

access https://www.ipdeny.com/ipblocks/ to full list

Étape 2 : Formater les Données pour RouterOS

Le fichier téléchargé liste les sous-réseaux IP (exemple : 1.2.3.0/24) mais MikroTik attend une syntaxe précise pour l’importation. On peut automatiser le formatage via un tableur comme Excel.

  1. Ouvrez votre logiciel de tableur.
  2. Collez dans la Colonne B la liste d’adresses IP téléchargée.
  3. En Colonne A, entrez le préfixe de la commande :
    ip firewall address-list add list=BlockedCountry address=
  4. Dans une troisième colonne, combinez les deux colonnes avec une formule, par exemple :
    =A1 & B1
  5. Étendez la formule sur toutes les lignes.

Vous disposez maintenant d’une liste complète de commandes CLI prêtes à être importées.

Spreadsheet formatting IP addresses into MikroTik CLI commands.

Étape 3 : Importer la Liste d’Adresses

Avec les commandes prêtes, chargez-les dans le routeur. Cela crée un groupe d’IP nommé (Liste d’Adresses) que vous pouvez utiliser dans les règles.

  1. Copiez les commandes générées depuis votre tableur.
  2. Ouvrez Winbox et connectez-vous à votre MikroTik.
  3. Lancez une Nouvelle fenêtre Terminal.
  4. Collez les commandes directement dans le terminal.

Si la liste est volumineuse, le traitement peut prendre quelques secondes. Vérifiez l’importation dans IP > Firewall > Address Lists : vous devriez voir des milliers d’entrées sous le nom choisi (ex : BlockedCountry).

Étape 4 : Créer la Règle de Blocage

Maintenant que le routeur sait quelles IP appartiennent au pays ciblé, indiquez-lui d’interdire le trafic vers ces adresses. On crée une règle de filtre de pare-feu pour bloquer ce trafic.

  1. Allez dans IP > Firewall > Filter Rules.
  2. Cliquez sur Ajouter (+) pour créer une nouvelle règle.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Paramètres de l’onglet Général :
    • Chain (Chaîne) : forward (s’applique au trafic transitant par le routeur, de votre LAN vers Internet).
    • In. Interface (Interface entrante) : Sélectionnez le bridge ou l’interface LAN.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Paramètres de l’onglet Avancé :
    • Dst. Address List (Liste d’adresses destination) : Sélectionnez la liste créée (ex : BlockedCountry).
  2. Paramètres de l’onglet Action :
    • Action : drop.
Configuration of a firewall drop rule in MikroTik Winbox.

Cliquez sur OK pour enregistrer. Placez cette règle en haut de la liste pour qu’elle soit prioritaire sur les règles « accepter tout ».

Astuce : Pour bloquer aussi le trafic provenant de ce pays, créez une règle supplémentaire avec la chaîne input (trafic vers le routeur) ou forward (vers votre LAN) et réglez la Src. Address List (Liste d’adresses source) sur la liste du pays.

Simplifier la Gestion avec NatCloud

Gérer manuellement ces listes sur un routeur est faisable, mais les maintenir à jour sur dizaines ou centaines d’appareils devient complexe.

NatCloud de MKController permet de gérer vos MikroTik à distance, même derrière CGNAT. Ce tutoriel décrit la configuration manuelle, mais une plateforme centralisée facilite le déploiement de scripts et mises à jour sur plusieurs routeurs, garantissant que vos règles de géoblocage restent actuelles sans manipulations répétées.

À propos de MKController

Nous espérons que ces conseils vous aideront à mieux maîtriser votre univers MikroTik et Internet ! 🚀
Que vous ajustiez vos configs ou cherchiez simplement à mettre un peu d’ordre dans votre réseau, MKController est là pour simplifier votre quotidien.

Avec une gestion cloud centralisée, des mises à jour de sécurité automatiques et un tableau de bord intuitif, nous avons tout ce qu’il faut pour optimiser votre infrastructure.

👉 Démarrez votre essai gratuit de 3 jours maintenant sur mkcontroller.com — et découvrez la vraie simplicité du contrôle réseau.