דלגו לתוכן
MKController Blog
InstagramYouTubeFacebook

Tutorial

חסימת תעבורה לפי מדינה ב-MikroTik

חסום תעבורה להן מ-מדינות ספציפיות ב-נתבי MikroTik באמצעות רשימות כתובות IPDeny וחוק סינון חד.

MKController5 min read

סיכום RouterOS ב-MikroTik אין לו כפתור מובנה “חסום מדינה X”, אך אתה יכול ליישם חסימה גיאוגרפית בצורה נקייה באמצעות קבצי אזור IPDeny, רשימת כתובות וחוק סינון חד. מדריך זה עובר על ארבע השלבים: הורד את רשימת בלוק המדינה, עצב אותה עבור RouterOS, ייבא דרך הטרמינל של Winbox, וצור את כלל הירידה. התוצאה חוסמת את כל התעבורה להן מ-המדינה הנבחרת עם חוק אחד, ומתעדכנת בקלות כהקצאות IP משתנות.

כיצד אתה חוסם תעבורה של מדינה ב-MikroTik?

חסימת תעבורה למדינה ספציפית ב-MikroTik מתבצעת על ידי בניית רשימת כתובות של כל בלוק IP שהוקצה למדינה זו, ואז הוספת חוק טיפול בחומת אש המתאים לרשימת הכתובות. RouterOS לא משלח כפתור “חסום מדינה X”, אך השילוב של רשימות כתובות וסינוני חומת אש משחזר את אותה פונקציונליות עם חוק טיפול חד ורשימה שאתה יכול לרענן כל שלושה חודשים.

מקור הנתונים הוא החלק המפתח. IPDeny מפרסם קבצי אזור מדינה מצטברים המתעדכנים בתדירות גבוהה וחינם, כך שאתה לא צריך לתחזוק את הקצאות ה-IP בעצמך. זרימת העבודה היא: הורד את קובץ האזור, הדבק אותו לגיליון אלקטרוני המוסיף לפני כל שורה פקודת RouterOS, הדבק את הפקודות המתקבלות לטרמינל של הנתב, ואז הוסף חוק סינון חומת אש אחד החוסם כל דבר התואם לרשימת הכתובות. הכל לוקח כחמש עשרה דקות למדינה אחת כשאתה עושה את זה פעם אחת.

שלב 1: קבל את בלוקי ה-IP מ-IPDeny

קבצי האזור של המדינה ב-IPDeny הם בלוקי CIDR מצטברים למדינה, המתעדכנים בלוח זמנים קבוע.

  1. פתח את ipdeny.com והנווט לחלק IP Country Blocks.
  2. אתר את המדינה שאתה רוצה לחסום.
  3. הורד את קובץ האזור - בדרך כלל .txt המכיל בלוק CIDR אחד לכל שורה (לדוגמה, 1.2.3.0/24).

הקצאות ה-IP משתנות לאורך הזמן כשנשאים מעבירים בלוקים בין אזורים. תכנן לרענן את הרשימה כל שלושה חודשים כדי שלא תגיד לחסום כתובות IP חדשות לגיטימיות או תחמיץ כתובות שהוקצו מחדש.

עמוד בלוקי IP של המדינה ב-IPDeny עם קבצי אזור ניתנים להורדה

שלב 2: עצב את הנתונים עבור RouterOS

קובץ האזור הוא CIDR גולם; הנתב מצפה שכל שורה תהיה פקודת RouterOS מלאה. גיליון אלקטרוני מטפל בעצוב בצורה נקייה:

  1. פתח Excel, Google Sheets, או LibreOffice Calc.
  2. בעמודה B, הדבק את רשימת CIDR מקובץ האזור.
  3. בעמודה A, הזן את קידומת הפקודה לכל שורה: /ip firewall address-list add list=BlockedCountry address=
  4. בעמודה C, השתמש בנוסחת שרשור לשילוב: =A1 & B1
  5. גרור את הנוסחה למטה כדי לכסות כל שורה.

עמודה C מכילה כעת רשימה שלמה של פקודות RouterOS, אחת לכל בלוק CIDR, מוכנה להדבקה לנתב.

גיליון אלקטרוני מייצר פקודות address-list של RouterOS מנתוני אזור IPDeny

שלב 3: ייבא את רשימת הכתובות

  1. העתק את הפקודות שנוצרו מעמודה C בגיליון האלקטרוני.
  2. פתח את Winbox והתחבר לנתב ה-MikroTik.
  3. פתח חלון New Terminal.
  4. הדבק את הפקודות. לקובץ אזור מדינה גדול, ההדבקה יכולה לקחת מספר שניות לעיבוד - תן לה להסתיים.

אמת את הייבוא על ידי פתיחת IP → Firewall → Address Lists. אתה צריך לראות אלפי רשומות תחת שם הרשימה (BlockedCountry). אם המספר נראה בעיקר נמוך מאשר מספר השורות מקובץ האזור, בדוק בעיות עצוב בגיליון האלקטרוני - רווחים נוספים או קידומות חסרות יגרמו לכשלים שקטים במהלך ההדבקה.

שלב 4: צור את כלל הירידה של חומת האש

כעת אמור לנתב מה לעשות עם תעבורה התואמת את הרשימה.

  1. עבור אל IP → Firewall → Filter Rules.
  2. לחץ על + כדי ליצור חוק חדש.
לוח סינון חומת אש של Winbox ב-MikroTik עם כפתור הוספת כלל

כרטסיה כללי:

  • Chain: forward (תעבורה העוברת דרך הנתב, LAN לאינטרנט)
  • In. Interface: הגשר LAN או הממשק
כרטסיה General של כלל חומת האש עם שרשרת forward וממשק LAN נבחר

כרטסיה מתקדמת:

  • Dst. Address List: BlockedCountry

כרטסיה פעולה:

  • Action: drop
כרטסיה Action של כלל חומת האש מוגדרת לירידה

לחץ על OK. הזז את הכלל גבוה ברשימת סינון חומת האש - בדרך כלל קרוב לחלק העליון של שרשרת forward - כדי שהוא יעבד לפני כללי accept all שיקדמו אחרת אותו.

כדי לחסום תעבורה מגיעה מ- המדינה גם כן, צור כלל שני עם Chain: input (לתעבורה שיועדה לנתב עצמו) או Chain: forward (לתעבורה שיועדה ל-LAN שלך) והגדר את Src. Address List ל-BlockedCountry. שני הכללים ביחד נותנים לך חסימה גיאוגרפית דו-כיוונית מלאה.

לשליטה משלימה בחומת אש וקונטרולי גישה, ראה את המדריכים שלנו ל-תצורת NAT של MikroTik ו-חסימת AdList DNS של MikroTik.

טיפים

  • השתמש בשם address-list אחר למדינה (BlockedCountry_CN, BlockedCountry_RU) כאשר חוסמים מספר אזורים. זה הופך ביקורת של מערך הכללים הרבה יותר קלה מאוחר יותר.
  • תוכנן תסריט רבעוני החוזר להוריד את קבצי האזור ורענן את רשימת הכתובות. מערכי כללים של “הגדר ותשכח” סחפים במהירות כאשר הקצאות משתנות.
  • רשום תעבורה שנזרקה בכלל חומת האש (תחת כרטסיית Action, הפוך log עם קידומת) בשבוע הראשון. הנפח אומר לך אם המדיניות עושה עבודה שימושית או בשקט חוסמת שום דבר.

צא לשלב הבא

שמירה על רשימות בלוק מדינות ב-MikroTik אחד אפשרית עם גיליון אלקטרוני וזכרון לוח השנה רבעוני. שמירה עליהם על פני עשרות או מאות נתבים - כל אחד אולי צריך מדיניות מדינה שונה במעט לעבור שונים - היא המקום שבו הגישה היד על יד נופלת.

MKController דוחף את אותן רשימות כתובות וכללי חומת אש לכל נתב במלאי שלך, רענן את נתוני IPDeny מרכזית, וחושף סחף בין תבניות מדיניות ומה שבעצם על כל מכשיר. NATCloud מטפל בחלק הגישה המרחוק כאשר CGNAT או חומות אש קפדניות של הלקוח יחסמו אחרת ניהול ישיר.

התחל את ניסיון ה-MKController החופשי שלך