Aller au contenu
MKController Blog
InstagramYouTubeFacebook

Tutorial

Bloquer le trafic par pays sur MikroTik

Bloquez le trafic vers ou depuis des pays précis sur les routeurs MikroTik avec des listes IPDeny et une seule règle firewall drop.

MKController6 min read

Résumé MikroTik RouterOS ne propose pas d’interrupteur intégré « bloquer le pays X », mais vous pouvez mettre en place un blocage géographique propre avec les fichiers de zone IPDeny, une Address List et une seule règle de filtrage firewall. Ce guide déroule les quatre étapes : télécharger la liste de blocs du pays, la formater pour RouterOS, l’importer via le terminal de Winbox et créer la règle drop. Résultat : tout le trafic vers (ou depuis) le pays choisi est bloqué avec une seule règle, et la mise à jour est simple lorsque les attributions d’IP évoluent.

Comment bloquer le trafic d’un pays sur MikroTik ?

Pour bloquer le trafic vers un pays précis sur MikroTik, on construit une liste d’adresses contenant tous les blocs IP attribués à ce pays, puis on ajoute une règle drop dans le firewall qui correspond à cette liste. RouterOS ne fournit pas de bouton « Bloquer le pays X », mais la combinaison Address Lists + Firewall Filters reproduit exactement cette fonctionnalité avec une seule règle drop et une liste rafraîchie tous les trimestres.

La source des données est l’élément clé. IPDeny publie des fichiers de zone agrégés par pays, mis à jour régulièrement et gratuitement, ce qui vous évite de maintenir les attributions IP vous-même. Le flux est le suivant : télécharger le fichier de zone, le coller dans un tableur qui préfixe chaque ligne par une commande RouterOS, coller les commandes obtenues dans le terminal du routeur, puis ajouter une règle de filtrage firewall qui drop tout ce qui correspond à la liste. L’ensemble prend une quinzaine de minutes par pays, une fois la procédure connue.

Étape 1 : récupérer les blocs IP sur IPDeny

Les fichiers de zone d’IPDeny sont des blocs CIDR agrégés par pays, mis à jour à intervalles réguliers.

  1. Ouvrez ipdeny.com et accédez à la section IP Country Blocks.
  2. Localisez le pays à bloquer.
  3. Téléchargez le fichier de zone — généralement un .txt contenant un bloc CIDR par ligne (par exemple 1.2.3.0/24).

Les attributions IP évoluent dans le temps, les opérateurs transférant des blocs d’une région à l’autre. Prévoyez de rafraîchir la liste tous les trimestres pour ne pas bloquer de nouvelles IP légitimes ni laisser passer des IP réattribuées.

Page des blocs IP par pays d'IPDeny avec les fichiers de zone téléchargeables

Étape 2 : formater les données pour RouterOS

Le fichier de zone n’apporte que des CIDR bruts ; le routeur attend que chaque ligne soit une commande RouterOS complète. Le tableur traite la mise en forme proprement :

  1. Ouvrez Excel, Google Sheets ou LibreOffice Calc.
  2. Dans la colonne B, collez la liste de CIDR du fichier de zone.
  3. Dans la colonne A, saisissez le préfixe de commande pour chaque ligne : /ip firewall address-list add list=BlockedCountry address=
  4. Dans la colonne C, utilisez une formule de concaténation : =A1 & B1
  5. Étirez la formule vers le bas pour couvrir toutes les lignes.

La colonne C contient désormais la liste complète des commandes RouterOS, une par bloc CIDR, prêtes à être collées dans le routeur.

Tableur générant des commandes address-list RouterOS à partir des données de zone IPDeny

Étape 3 : importer la liste d’adresses

  1. Copiez les commandes générées dans la colonne C.
  2. Ouvrez Winbox et connectez-vous au routeur MikroTik.
  3. Ouvrez une fenêtre New Terminal.
  4. Collez les commandes. Pour un fichier de zone volumineux, le collage peut mettre plusieurs secondes à se traiter — laissez-le se terminer.

Vérifiez l’import en ouvrant IP → Firewall → Address Lists. Vous devez voir des milliers d’entrées sous le nom de la liste (BlockedCountry). Si le nombre est très inférieur au nombre de lignes du fichier de zone, examinez les problèmes de mise en forme du tableur : espaces superflus ou préfixes manquants provoquent des échecs silencieux pendant le collage.

Étape 4 : créer la règle drop du firewall

Maintenant, indiquez au routeur ce qu’il doit faire du trafic qui correspond à la liste.

  1. Allez dans IP → Firewall → Filter Rules.
  2. Cliquez sur + pour créer une nouvelle règle.
Panneau Filter Rules du firewall MikroTik Winbox avec le bouton d'ajout de règle

Onglet General :

  • Chain : forward (trafic qui traverse le routeur, du LAN vers Internet)
  • In. Interface : le bridge ou l’interface LAN
Onglet General de la règle firewall avec chain forward et interface LAN sélectionnée

Onglet Advanced :

  • Dst. Address List : BlockedCountry

Onglet Action :

  • Action : drop
Onglet Action de la règle firewall réglé sur drop

Cliquez sur OK. Remontez la règle en haut de la liste de filtres du firewall — typiquement près du début de la chain forward — pour qu’elle soit évaluée avant toute règle accept all qui la court-circuiterait autrement.

Pour bloquer aussi le trafic provenant de ce pays, créez une deuxième règle avec Chain: input (pour le trafic destiné au routeur lui-même) ou Chain: forward (pour le trafic destiné à votre LAN) et définissez la Src. Address List sur BlockedCountry. Les deux règles ensemble fournissent un blocage géographique entièrement bidirectionnel.

Pour des contrôles firewall et d’accès complémentaires, consultez nos guides sur la configuration du NAT sur MikroTik et le blocage DNS via AdList sur MikroTik.

Astuces

  • Utilisez un nom d’address-list différent par pays (BlockedCountry_CN, BlockedCountry_RU) lorsque vous bloquez plusieurs régions. Cela facilite grandement l’audit ultérieur de l’ensemble de règles.
  • Planifiez un script trimestriel qui re-télécharge les fichiers de zone et rafraîchit la liste d’adresses. Les ensembles de règles « pose-et-oublie » se désactualisent vite à mesure que les attributions changent.
  • Loggez le trafic droppé dans la règle firewall (sous l’onglet Action, activez log avec un préfixe) pendant la première semaine. Le volume vous indiquera si la politique fait un travail utile ou bloque silencieusement rien du tout.

Passez à l’étape suivante

Maintenir des listes de blocage par pays sur un seul MikroTik reste viable avec un tableur et un rappel trimestriel. Le faire sur des dizaines ou des centaines de routeurs — chacun avec potentiellement des politiques de pays légèrement différentes pour différents clients — est l’endroit où l’approche manuelle s’effondre.

MKController pousse les mêmes address lists et règles firewall vers chaque routeur de votre parc, rafraîchit les données IPDeny de manière centralisée et met en évidence l’écart entre les modèles de politique et ce qui tourne réellement sur chaque équipement. NATCloud règle la question de l’accès distant lorsque le CGNAT ou les firewalls stricts côté client empêcheraient autrement la gestion directe.

Démarrez votre essai gratuit MKController