Skip to content
Blog

Hogyan blokkoljuk a forgalmat adott országok felé MikroTik-en

Összefoglaló Ez az útmutató bemutatja, hogyan blokkolható a hálózati forgalom adott országok felé MikroTik RouterOS segítségével. Megtanulja, hogyan szerezzen IP tartományokat az IPDeny-tól, hogyan formázza őket CLI parancsokká táblázatkezelővel, és hogyan állítson be tűzfal tiltó szabályt a nem kívánt régiók elérésének korlátozására.

Hogyan blokkoljuk a forgalmat adott országok felé MikroTik-en

A hálózati forgalom céljának kezelése a modern hálózatbiztonság kulcsfontosságú része. Akár vállalati szabályzatokat követ, akár csak meg akarja akadályozni a felhasználók hozzáférését magas kockázatú régiók szervereihez, a forgalom ország szerinti blokkolása erős vezérlőeszköz.

Bár a MikroTik RouterOS-nek nincs beépített „Blokk ország X” gombja, hatékonyan megvalósítható ez Címlisták és szabványos Tűzfal szűrők segítségével. Ez az oktatóanyag végigvezeti a kézi IP tartománygyűjtés és a routerhez való hozzárendelés lépéseit.

1. lépés: Az IP-tartományok beszerzése

Az ország blokkolásához először szüksége van az adott régióhoz rendelt összes IP-cím listájára. Az egyik legmegbízhatóbb és ingyenes forrás erre az IPDeny. Ők gyakran frissített övezeti fájlokat biztosítanak.

  1. Látogasson el a IPDeny.com oldalra (vagy közvetlenül az „IP Country Blocks” részhez).
  2. Keresse meg a listában azt az országot, amelyet blokkolni szeretne.
  3. Töltse le a zónafájlt (általában .txt fájl) az adott országhoz.

Megjegyzés: Az IP-kiosztások idővel változnak. Fontos ezeket a listákat rendszeresen frissíteni, hogy ne blokkoljon új, jogos IP-címeket vagy ne hagyjon ki átcsoportosítottakat.

access https://www.ipdeny.com/ipblocks/ to full list

2. lépés: Adatok formázása RouterOS-hez

A letöltött fájl nyers IP-alhálózati listát tartalmaz (pl. 1.2.3.0/24), de a MikroTik routernek meghatározott parancsformátumban kell ezeket megadni az importáláshoz. Táblázatkezelő program, például Excel segítségével automatizálhatjuk a formázást.

  1. Nyissa meg a táblázatkezelőt.
  2. Az B oszlopba illessze be az IPDeny-tól letöltött IP-címeket.
  3. Az A oszlopba írja be a parancs prefixét:
    ip firewall address-list add list=BlockedCountry address=
  4. Egy harmadik oszlopban egy képlettel egyesítse a két oszlop tartalmát, például:
    =A1 & B1
  5. Húzza le a képletet az összes sorig.

Most kész a teljes parancslista, amelyet beilleszthet a routerbe.

Spreadsheet formatting IP addresses into MikroTik CLI commands.

3. lépés: Címlista importálása

A parancsok elkészültek, most be kell töltenünk a routerbe. Ez létrehoz egy névvel ellátott IP-csoportot (Címlistát), amelyet később hivatkozhatunk.

  1. Másolja ki a táblázatból generált parancsokat.
  2. Nyissa meg a Winbox-ot, és lépjen be a MikroTik routerre.
  3. Nyisson egy Új terminál ablakot.
  4. Illessze be a parancsokat közvetlenül a terminálba.

Ha a lista nagy, az illesztés pár másodpercet vehet igénybe. Befejezés után az importálást ellenőrizheti a IP > Firewall > Címlisták menüpontban. Ekkor több ezer bejegyzést kell látnia a választott lista név alatt (pl. BlockedCountry).

4. lépés: Tiltó szabály létrehozása

Most, hogy a router tudja, mely IP-khez tartozik az adott ország, meg kell mondani neki, mit tegyen az oda irányuló forgalommal. Készítünk egy tűzfal szűrőszabályt, amely eldobja az ilyen forgalmat.

  1. Menjen a IP > Firewall > Szűrőszabályok menübe.
  2. Kattintson az Új (+) gombra új szabály létrehozásához.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Általános fül beállításai:
    • Lánc: forward (Ez a routeren áthaladó, LAN-ból az internet felé tartó forgalomra vonatkozik).
    • Bemeneti interfész: Válassza ki a LAN-hídját vagy interfészét.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Haladó fül beállításai:
    • Célszemély címlista (Dst. Address List): Válassza ki a korábban létrehozott listát (pl. BlockedCountry).
  2. Művelet fül beállításai:
    • Művelet: drop.
Configuration of a firewall drop rule in MikroTik Winbox.

Kattintson az OK gombra a mentéshez. Helyezze ezt a szabályt a tűzfal listájában minél magasabbra, hogy az “mindent engedélyez” szabályok elé kerüljön.

Tipp: Ha a cél az is, hogy blokkolja az adott országból érkező forgalmat, készíthet egy második szabályt input lánccal (a router felé tartó forgalomhoz) vagy forward lánccal (LAN felé), és az Forrás címlista (Src. Address List) mezőben válassza a blokkolt ország listáját.

Egyszerűbb kezelés NatCloud segítségével

Egy routeren ezeknek a listáknak a kézi kezelése megoldható, de több tucat vagy száz eszközön a folyamatos frissítés kihívás.

A NatCloud az MKController-től távolról kezeli MikroTik eszközeit, akár CGNAT mögül is. Habár az útmutató kézi beállítást mutat be, egy központosított menedzsment platform segítségével azonnal telepíthet szkripteket és konfigurációs frissítéseket több routerre, biztosítva hogy a biztonsági szabályai – például ezek a földrajzi blokkok – mindig naprakészek legyenek, a táblázatos munka nélkül.

Az MKController-ről

Reméljük, ezek a tippek segítettek jobban eligazodni MikroTik és az internet világában! 🚀
Akár finomhangolja a beállításokat, akár rendet szeretne teremteni a hálózati káoszban, az MKController egyszerűbbé teszi az életét.

Központi felhőalapú menedzsmenttel, automatikus biztonsági frissítésekkel és bárki által kezelhető vezérlőpultra van szüksége, hogy fejlessze hálózatát.

👉 Kezdje el az ingyenes 3 napos próbát most a mkcontroller.com oldalon – és tapasztalja meg, milyen az igazán könnyű hálózatkezelés.