סיכום המדריך הזה מראה כיצד לחסום תעבורת רשת למדינות ספציפיות באמצעות MikroTik RouterOS. תלמדו כיצד להשיג רשימות IP מ-IPDeny, לעצב פקודות CLI באמצעות גיליון אלקטרוני, ולהגדיר חוק חומת אש לחסימה לפי מיקום גאוגרפי.

איך לחסום תעבורה למדינות ספציפיות במכשירי MikroTik

ניהול היעדים של תעבורת הרשת הוא חלק חשוב באבטחת רשת מודרנית. בין אם אתם מצייתים למדיניות ארגונית או רוצים למנוע גישה לשרתים באזורים בסיכון גבוה, חסימת תעבורה לפי מדינה היא כלי יעיל רב עוצמה.

למרות ש-MikroTik RouterOS אין כפתור מובנה ל”חסימת מדינה X”, ניתן לבצע זאת בקלות באמצעות רשימות כתובות ומסנני חומת אש סטנדרטיים. המדריך מסביר את התהליך ידנית של איסוף טווחי IP ויישומם בנתב.

שלב 1: השגת רשימות ה-IP

כדי לחסום מדינה, צריך תחילה לקבל רשימה של כל כתובות ה-IP שמוקצות לאזור זה. מקור אמין וחינמי לכך הוא IPDeny. הם מספקים קבצי זון מעודכנים בתדירות גבוהה.

1. היכנסו ל-IPDeny.com (או ישירות לסעיף “IP Country Blocks”).
2. מצאו את המדינה שברצונכם לחסום ברשימה.
3. הורידו את קובץ הזון (בדרך כלל קובץ .txt) עבור אותה מדינה.

הערה: הקצאות IP משתנות עם הזמן. חשוב לעדכן את הרשימות מעת לעת כדי לא לחסום כתובות חוקיות חדשות או לפספס כתובות שהוקצו מחדש.

שלב 2: עיצוב הנתונים עבור RouterOS

הקובץ שהורדתם מכיל רשימה גולמית של תת-רשתות IP (לדוגמה, 1.2.3.0/24), אבל הנתב MikroTik מצפה לפקודות בפורמט מסוים לייבוא. אפשר להשתמש בתוכנת גיליון אלקטרוני כמו Excel כדי למלא את הפורמט בצורה אוטומטית.

1. פתחו את תוכנת הגיליון האלקטרוני.
2. בעמודה B, הדביקו את רשימת הכתובות שהורדתם מ-IPDeny.
3. בעמודה A, כתבו את תחילת הפקודה הבאה: ip firewall address-list add list=BlockedCountry address=
4. בעמודה שלישית, השתמשו בנוסחה המשלבת ביניהן. לדוגמה: =A1 & B1
5. גררו את הנוסחה כלפי מטה עד לכיסוי כל השורות.

כעת יש לכם רשימת פקודות CLI מוכנה להוספה לנתב.

שלב 3: ייבוא רשימת הכתובות

עם הפקודות שהכנתם, הגיע הזמן לטעון אותן לנתב. תהליך זה יוצר קבוצת כתובות בשם (Address List) שנוכל להפנות אליה בחוקים.

1. העתיקו את הפקודות שיצרתם בגיליון.
2. פתחו את Winbox והתחברו לנתב MikroTik שלכם.
3. פתחו חלון טרמינל חדש.
4. הדביקו את הפקודות ישירות בטרמינל.

אם הרשימה גדולה, ההדבקה עשויה לקחת מספר שניות. כשזה יסתיים, ניתן לבדוק את הייבוא תחת IP > Firewall > Address Lists. תראו אלפי כתובות תחת שם הרשימה שבחרתם (למשל BlockedCountry).

שלב 4: יצירת חוק החסימה

עכשיו שהנתב יודע אילו כתובות שייכות למדינה הרצויה, יש להגדיר מה לעשות עם תעבורה למקומות אלו. ניצור חוק סינון בחומת האש שיחסום תעבורה.

1. עברו לIP > Firewall > Filter Rules.
2. לחצו על כפתור Add (+) כדי ליצור חוק חדש.

3. הגדרות בכרטיסייה כללית:
   • Chain: forward (מפעיל על תעבורה שעוברת דרך הנתב, מהרשת המקומית לאינטרנט).
   • In. Interface: בחרו את הגשר או הממשק של הרשת המקומית שלכם.

4. הגדרות בכרטיסייה מתקדם:
   • Dst. Address List: בחרו את רשימת הכתובות שיצרתם (למשל BlockedCountry).
5. הגדרות בכרטיסייה פעולה:
   • Action: drop.

לחצו אישור לשמירה. העבירו את החוק למקום גבוה ברשימת החוקים כדי להבטיח שהוא מתבצע לפני חוקי “קבל הכל”.

טיפ: אם תרצו לחסום גם תעבורה המגיעה מ- אותה מדינה, ניתן ליצור חוק נוסף עם Chain שיכלול input (לתעבורה לנתב) או forward (לתעבורה לרשת המקומית) ולבחור בSrc. Address List את רשימת המדינה.

פישוט הניהול עם NatCloud

ניהול רשימות כאלה ידנית בנתב בודד אפשרי, אך שמירת העדכונים בעשרות או מאות נתבים היא אתגר.

NatCloud מבית MKController מאפשר לנהל את מכשירי MikroTik מרחוק, גם מאחורי CGNAT. למרות שמדריך זה מתמקד בקונפיגורציה ידנית, שימוש בפלטפורמת ניהול מרכזית מאפשר לכם לדחוף סקריפטים ועדכוני הגדרות לנתבים רבים מיידית, ומבטיח שהמדיניות – כמו חסימות גיאוגרפיות כדוגמת אלה – תמיד עדכנית ללא עבודה ידנית בגיליונות.

---

אודות MKController

מקווים שהמידע לעיל סייע לכם לנווט טוב יותר בעולם MikroTik והאינטרנט! 🚀
בין אם משהים קונפיגורציות או פשוט מנסים להביא סדר לבלגן הרשת, MKController כאן כדי לפשט לכם את החיים.

עם ניהול ענני מרכזי, עדכוני אבטחה אוטומטיים ולוח בקרה שכל אחד יכול לשלוט בו, יש לנו את מה שצריך לשדרג את התפעול שלכם.

👉 התחילו ניסיון חינם ל-3 ימים עכשיו ב-mkcontroller.com — ותראו איך שליטה ברשת יכולה להיות פשוטה באמת.