Skip to content
MKController Blog
InstagramYouTubeFacebook

Tutorial

Blokiranje prometa po zemlji na MikroTiku

Blokiranje prometa prema ili od određenih zemalja na MikroTik ruteru korištenjem IPDeny adresnih listi i jednog pravila ispuštanja vatrozida.

MKController5 min read

Sažetak RouterOS na MikroTiku nema ugrađene mogućnosti “blokiraj zemlju X”, ali geografsko blokiranje možeš čisto implementirati korištenjem IPDeny zone datoteka, adresne liste i jednog pravila filtriranja vatrozida. Ovaj vodič prolazi kroz četiri koraka: preuzmi popis blokova zemlje, formatiraj ga za RouterOS, uvezi putem Winbox terminala i kreiraj pravilo ispuštanja. Rezultat blokira cijeli promet prema (ili od) odabrane zemlje s jednim pravilom, a lako se ažurira kako se IP dodjele mijenjaju.

Kako blokiraš promet zemlje na MikroTiku?

Za blokiranje prometa prema određenoj zemlji na MikroTiku, gradiš adresnu listu svakog IP bloka dodieljenog toj zemlji, zatim dodaš pravilo ispuštanja vatrozida koje se podudara s adresnom listom. RouterOS ne dolazi s gumbom “Blokiraj zemlju X”, ali kombinacija adresnih listi i filtera vatrozida reproducira istu funkcionalnost s jednim pravilom ispuštanja i listom koju možeš osvježavati tromjesečno.

Izvor podataka je ključni dio. IPDeny objavljuje agregiriane zone datoteke zemalja koje se često ažuriraju i besplatne su, pa ne moraš sam održavati IP dodjele. Tok rada je: preuzmi zone datoteku, zalijepi je u tablicu koja svaki redak prefiksa naredbom RouterOS, zalijepi rezultirajuće naredbe u terminal routera, zatim dodaj jedno pravilo filtriranja vatrozida koje ispušta sve što se podudara s adresnom listom. Cijela stvar traje oko petnaest minuta po zemlji kada je jednom obavljena.

Korak 1: Preuzimanje IP blokova iz IPDeny

Zone datoteke zemalja na IPDeny su agregirana CIDR bloka po zemlji, ažurirana na redovnom rasporedu.

  1. Otvori ipdeny.com i kreni na odjeljak IP Country Blocks.
  2. Pronađi zemlju koju želiš blokirati.
  3. Preuzmi zone datoteku — obično .txt koja sadrži jedan CIDR blok po retku (npr. 1.2.3.0/24).

IP dodjele se mijenjaju tijekom vremena kako operateri prebacuju blokove između regija. Planiraj osvježiti listu tromjesečno kako ne bi blokirao nove legitimne IP adrese ili nedostajao preraspodjeljenim.

IPDeny stranica blokova zemalja IP s preuzimljivim zone datotekama

Korak 2: Formatiranje podataka za RouterOS

Zone datoteka je sirova CIDR; router očekuje da svaki redak bude potpuna RouterOS naredba. Tablica čisto rukovodi formatiranjem:

  1. Otvori Excel, Google Sheets ili LibreOffice Calc.
  2. U Stupac B, zalijepi CIDR listu iz zone datoteke.
  3. U Stupac A, unesi prefiks naredbe za svaki redak: /ip firewall address-list add list=BlockedCountry address=
  4. U Stupac C, koristi formulu spajanja: =A1 & B1
  5. Povuci formulu prema dolje da pokrije svaki redak.

Stupac C sada sadrži potpunu listu RouterOS naredbi, jednu po CIDR bloku, spreman za zalijepi u router.

Tablica koja genira RouterOS address-list naredbe iz IPDeny zone podataka

Korak 3: Uvoz adresne liste

  1. Kopiraj generirane naredbe iz stupca C u tablici.
  2. Otvori Winbox i povežite se s MikroTik ruterom.
  3. Otvori New Terminal prozor.
  4. Zalijepi naredbe. Za veliku zone datoteku zemlje, zalijepi može potrajati nekoliko sekundi — dopusti joj da se završi.

Provjeri uvoz otvaranjem IP → Firewall → Address Lists. Trebao bi vidjeti tisuće unosa ispod imena liste (BlockedCountry). Ako je broj dramatično niži od broja redaka iz zone datoteke, provjeri probleme s formatiranjem tablice — dodatni razmaci ili nedostajući prefiksi će prouzročiti tihu neuspjehu tijekom zalijepi.

Korak 4: Kreiranje pravila ispuštanja vatrozida

Sada reci routeru što učiniti s prometom koji se podudara s listom.

  1. Kreni na IP → Firewall → Filter Rules.
  2. Klikni + kako bi kreirao novo pravilo.
MikroTik Winbox ploča filtera vatrozida s gumbom za dodavanje pravila

Karticu Opće:

  • Chain: forward (promet koji prolazi kroz router, LAN na internet)
  • In. Interface: LAN most ili sučelje
Karticu filtera vatrozida Opće s forward lancem i odabranim LAN sučeljem

Naprednu karticu:

  • Dst. Address List: BlockedCountry

Karticu Akcije:

  • Action: drop
Karticu akcije pravila vatrozida postavljenu na ispuštanje

Klikni OK. Pomakni pravilo na visoko mjesto na popisu filtera vatrozida — obično blizu vrha forward lanca — tako da se procesira prije bilo kojih accept all pravila koja bi je inače preskočila.

Za blokiranje prometa koji dolazi iz te zemlje također, kreiraj drugo pravilo s Chain: input (za promet namijen samom routeru) ili Chain: forward (za promet namijen tvom LAN-u) i postavi Src. Address List na BlockedCountry. Dva pravila zajedno ti daju potpuno dvoksmjerno geografsko blokiranje.

Za komplementarne vatrozide i kontrole pristupa, pogledaj naše vodiče za MikroTik NAT konfiguraciju i MikroTik AdList DNS blokiranje.

Savjeti

  • Koristi različito ime adresne liste po zemlji (BlockedCountry_CN, BlockedCountry_RU) pri blokiranju više regija. Čini reviziju skupa pravila mnogo lakšom kasnije.
  • Rasporedi tromjesečnu skriptu koja ponovno preuzima zone datoteke i osvježava adresnu listu. Skupovi pravila koji se “postavi i zaboravi” brzo klize kako se dodjele mijenjaju.
  • Registrira ispuštani promet u pravilu vatrozida (ispod kartice Akcije, omogući log s prefiksom) za prvi tjedan. Volumen ti govori ide li politika korisna ili tiho blokira ništa.

Slijedeći korak

Održavanje popisa blokada zemalja na jednom MikroTiku je izvedivo s tablicom i tromjesečnim podsjetnikom u kalendaru. Održavanje ih na nekoliko desetaka ili stotina routera — od kojih svaki potencijalno trebaju malo drugačije politike zemalja za različite korisnike — je gdje se ručni pristup rušava.

MKController gura iste adresne liste i pravila vatrozida svakom routeru u tvom inventaru, osvježava IPDeny podatke centralno i prikazuje sklapanja između šablona politike i što je zapravo na svakom uređaju. NATCloud rukovodi dijelom udaljene pristupe kada bi CGNAT ili stroge vatrozide korisnika inače blokirao izravnu upravu.

Pokreni svoj besplatan MKController pokušaj