Salta ai contenuti
Blog

Come Bloccare il Traffico verso Paesi Specifici su MikroTik

Riassunto Questa guida mostra come bloccare il traffico di rete verso paesi specifici usando MikroTik RouterOS. Imparerai a reperire blocchi IP da IPDeny, formattarli in comandi CLI tramite un foglio di calcolo e configurare una regola firewall per limitare l’accesso a regioni geografiche indesiderate.

Come Bloccare il Traffico verso Paesi Specifici su MikroTik

Gestire dove va il traffico di rete è fondamentale per la sicurezza moderna. Che tu debba rispettare politiche aziendali o semplicemente vietare l’accesso a server in zone a rischio, bloccare il traffico per paese è un controllo efficace.

Anche se MikroTik RouterOS non ha un pulsante “Blocca Paese X” integrato, puoi farlo facilmente con Liste Indirizzi e Filtri Firewall standard. Questo tutorial ti guida passo passo nel processo manuale per raccogliere gli intervalli IP e applicarli al router.

Passo 1: Reperire i Blocchi IP

Per bloccare un paese, ti serve una lista di tutti gli indirizzi IP assegnati a quella regione. Una delle fonti più affidabili e gratuite è IPDeny, che fornisce file zonali aggiornati spesso.

  1. Vai su IPDeny.com (o direttamente alla sezione “IP Country Blocks”).
  2. Trova il paese che vuoi bloccare nella lista.
  3. Scarica il file zona (di solito un file .txt) per quel paese specifico.

Nota: Le assegnazioni IP cambiano nel tempo. Aggiorna queste liste periodicamente per non bloccare IP legittimi nuovi o perdere quelli riassegnati.

access https://www.ipdeny.com/ipblocks/ to full list

Passo 2: Formattare i Dati per RouterOS

Il file scaricato contiene una lista grezza di subnet IP (es. 1.2.3.0/24), ma MikroTik si aspetta un formato comando specifico per importarli. Possiamo usare un foglio di calcolo come Excel per automatizzare la formattazione del testo.

  1. Apri il tuo software per fogli di calcolo.
  2. Incolla in Colonna B la lista degli indirizzi IP scaricati da IPDeny.
  3. In Colonna A, scriviamo il prefisso del comando. Inserisci questo testo: ip firewall address-list add list=BlockedCountry address=
  4. In una terza colonna, usa una formula per unirli. Ad esempio: =A1 & B1
  5. Trascina la formula fino a coprire tutte le righe.

Hai ora una lista completa di comandi CLI pronta per il router.

Spreadsheet formatting IP addresses into MikroTik CLI commands.

Passo 3: Importare la Lista Indirizzi

Con i comandi pronti, è il momento di caricarli nel router. Questo crea un gruppo nominato di IP (una Lista Indirizzi) da utilizzare nelle regole.

  1. Copia i comandi generati dal foglio di calcolo.
  2. Apri Winbox e accedi al tuo router MikroTik.
  3. Apri una Nuova Terminale.
  4. Incolla i comandi direttamente nel terminale.

Se la lista è molto grande, l’incolla può richiedere qualche secondo. Al termine, verifica l’importazione in IP > Firewall > Liste Indirizzi, dovresti vedere migliaia di voci sotto il nome scelto (es. BlockedCountry).

Passo 4: Creare la Regola di Drop

Ora che il router conosce gli IP del paese target, devi indicare cosa fare con il traffico diretto a queste destinazioni. Creeremo una regola firewall per scartare quel traffico.

  1. Vai su IP > Firewall > Regole Filtri.
  2. Clicca su Aggiungi (+) per creare una nuova regola.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Impostazioni scheda Generale:
    • Catena: forward (applica al traffico che passa attraverso il router, dalla LAN a Internet).
    • Interfaccia Ingressante: seleziona il bridge LAN o l’interfaccia.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Impostazioni scheda Avanzate:
    • Lista Indirizzi Dest.: seleziona la lista creata (es. BlockedCountry).
  2. Impostazioni scheda Azione:
    • Azione: drop.
Configuration of a firewall drop rule in MikroTik Winbox.

Clicca OK per salvare. Sposta questa regola in alto nell’elenco firewall affinché sia processata prima di eventuali regole “accetta tutto”.

Suggerimento: Se vuoi bloccare anche il traffico proveniente da quel paese, crea una seconda regola con la Catena impostata su input (per traffico verso il router) o forward (per traffico verso la LAN) e imposta la Lista Indirizzi Origine sull’elenco del paese.

Semplificare la Gestione con NatCloud

Gestire queste liste manualmente su un singolo router è fattibile, ma aggiornarle su decine o centinaia di dispositivi è complesso.

NatCloud di MKController consente di gestire da remoto i dispositivi MikroTik, anche dietro CGNAT. Anche se questa guida è sulla configurazione manuale, una piattaforma centralizzata ti permette di distribuire script e aggiornamenti configurazione su più router all’istante, garantendo che le tue policy di sicurezza – come questi blocchi geografici – siano sempre aggiornate senza fatica.

Informazioni su MKController

Speriamo che queste indicazioni ti abbiano aiutato a muoverti meglio nel mondo MikroTik e Internet! 🚀
Che tu stia ottimizzando configurazioni o portando ordine alla rete, MKController è qui per semplificarti la vita.

Con gestione cloud centralizzata, aggiornamenti di sicurezza automatici e una dashboard intuitiva, abbiamo tutto per migliorare la tua operatività.

👉 Inizia ora la prova gratuita di 3 giorni su mkcontroller.com — e scopri il vero controllo di rete senza sforzi.