Blokir Lalu Lintas per Negara di MikroTik

Ringkasan MikroTik RouterOS tidak memiliki tombol bawaan untuk “blokir negara X”, namun Anda dapat menerapkan pemblokiran geografis secara rapi menggunakan file zona IPDeny, sebuah Address List, dan satu aturan filter firewall. Panduan ini menjelaskan empat langkah: unduh daftar blok negara, format untuk RouterOS, impor melalui terminal Winbox, dan buat aturan drop. Hasilnya memblokir seluruh lalu lintas ke (atau dari) negara yang dipilih dengan satu aturan, dan mudah diperbarui saat alokasi IP berubah.

Bagaimana cara memblokir lalu lintas negara di MikroTik?

Untuk memblokir lalu lintas ke negara tertentu di MikroTik, Anda membangun daftar alamat berisi setiap blok IP yang dialokasikan ke negara itu, lalu menambahkan aturan drop firewall yang mencocokkan daftar alamat tersebut. RouterOS tidak menyediakan tombol “Blokir Negara X”, tetapi kombinasi Address Lists dan Firewall Filters mereproduksi fungsi yang sama dengan satu aturan drop dan satu daftar yang dapat Anda perbarui setiap kuartal.

Sumber data adalah kuncinya. IPDeny menerbitkan file zona negara teragregasi yang diperbarui secara berkala dan gratis, sehingga Anda tidak perlu memelihara alokasi IP sendiri. Alurnya: unduh file zona, tempel ke spreadsheet yang memberi prefiks setiap baris dengan perintah RouterOS, tempelkan perintah hasilnya ke terminal router, lalu tambahkan satu aturan filter firewall yang men-drop apa pun yang cocok dengan daftar alamat. Seluruh proses memakan waktu sekitar lima belas menit per negara setelah Anda melakukannya sekali.

Langkah 1: Ambil blok IP dari IPDeny

File zona negara di IPDeny berisi blok CIDR teragregasi per negara, diperbarui secara terjadwal.

1. Buka ipdeny.com dan navigasikan ke bagian IP Country Blocks.
2. Temukan negara yang ingin diblokir.
3. Unduh file zona — biasanya berupa .txt berisi satu blok CIDR per baris (misalnya 1.2.3.0/24).

Alokasi IP berubah seiring waktu saat operator mentransfer blok antar wilayah. Rencanakan untuk menyegarkan daftar setiap kuartal agar Anda tidak memblokir IP sah baru atau melewatkan IP yang sudah dialokasi ulang.

Langkah 2: Format data untuk RouterOS

File zona berisi CIDR mentah; router mengharapkan setiap baris berupa perintah RouterOS lengkap. Spreadsheet menangani format ini secara rapi:

1. Buka Excel, Google Sheets, atau LibreOffice Calc.
2. Pada Kolom B, tempel daftar CIDR dari file zona.
3. Pada Kolom A, masukkan prefiks perintah di setiap baris: /ip firewall address-list add list=BlockedCountry address=
4. Pada Kolom C, gunakan rumus konkatenasi untuk menggabungkan: =A1 & B1
5. Tarik rumus ke bawah hingga mencakup semua baris.

Kolom C kini berisi daftar lengkap perintah RouterOS, satu per blok CIDR, siap ditempel ke router.

Langkah 3: Impor daftar alamat

1. Salin perintah yang dihasilkan di Kolom C dari spreadsheet.
2. Buka Winbox dan sambungkan ke router MikroTik.
3. Buka jendela New Terminal.
4. Tempel perintah. Untuk file zona negara yang besar, penempelan bisa memerlukan beberapa detik untuk diproses — biarkan selesai.

Verifikasi impor dengan membuka IP → Firewall → Address Lists. Anda seharusnya melihat ribuan entri di bawah nama daftar (BlockedCountry). Jika jumlahnya terlihat jauh lebih rendah dari jumlah baris file zona, periksa masalah format spreadsheet — spasi ekstra atau prefiks yang hilang akan menyebabkan kegagalan diam-diam saat penempelan.

Langkah 4: Buat aturan drop di firewall

Sekarang beri tahu router apa yang harus dilakukan dengan lalu lintas yang cocok dengan daftar.

1. Buka IP → Firewall → Filter Rules.
2. Klik + untuk membuat aturan baru.

Tab General:

• Chain: forward (lalu lintas yang melewati router, LAN ke internet)
• In. Interface: bridge atau antarmuka LAN

Tab Advanced:

• Dst. Address List: BlockedCountry

Tab Action:

• Action: drop

Klik OK. Pindahkan aturan ke posisi teratas daftar filter firewall — biasanya dekat atas chain forward — agar diproses sebelum aturan accept all apa pun yang akan menyebabkan short-circuit.

Untuk memblokir lalu lintas yang berasal dari negara tersebut juga, buat aturan kedua dengan Chain: input (untuk lalu lintas yang ditujukan ke router itu sendiri) atau Chain: forward (untuk lalu lintas yang ditujukan ke LAN Anda) dan atur Src. Address List ke BlockedCountry. Dua aturan bersama-sama memberikan pemblokiran geografis dua arah penuh.

Untuk kontrol firewall dan akses tambahan, lihat panduan kami tentang konfigurasi NAT MikroTik dan pemblokiran DNS AdList MikroTik.

Tips

• Gunakan nama address-list yang berbeda per negara (BlockedCountry_CN, BlockedCountry_RU) saat memblokir beberapa wilayah. Ini sangat memudahkan audit kumpulan aturan di kemudian hari.
• Jadwalkan skrip kuartalan yang mengunduh ulang file zona dan menyegarkan daftar alamat. Kumpulan aturan “set-and-forget” cepat usang seiring alokasi berubah.
• Catat lalu lintas yang di-drop pada aturan firewall (di tab Action, aktifkan log dengan prefiks) selama minggu pertama. Volume memberi tahu Anda apakah kebijakan tersebut benar-benar bekerja atau diam-diam tidak memblokir apa pun.

Langkah selanjutnya

Memelihara daftar blokir negara di satu MikroTik masih layak dengan spreadsheet dan pengingat kalender kuartalan. Memeliharanya di lusinan atau ratusan router — masing-masing mungkin membutuhkan kebijakan negara yang sedikit berbeda untuk pelanggan berbeda — adalah tempat pendekatan manual mulai gagal.

MKController mendorong address list dan aturan firewall yang sama ke setiap router di inventaris Anda, menyegarkan data IPDeny secara terpusat, dan memunculkan ketidaksesuaian antara template kebijakan dan kondisi sebenarnya di setiap perangkat. NATCloud menangani akses jarak jauh saat CGNAT atau firewall ketat sisi pelanggan akan menghalangi pengelolaan langsung.

Mulai uji coba gratis MKController