コンテンツにスキップ
Blog

MikroTikで特定国へのトラフィックをブロックする方法

概要 本ガイドでは、MikroTik RouterOSを使い特定国へのネットワークトラフィックをブロックする方法を解説します。IPDenyからIPブロックを取得し、スプレッドシートでCLIコマンドに整形、ファイアウォールのドロップルールを設定する流れを紹介します。

MikroTikで特定国へのトラフィックをブロックする方法

ネットワークトラフィックの行先管理は現代のネットワークセキュリティで重要な役割を持ちます。企業ポリシー遵守やリスクの高い地域へのアクセス制限など、国別のトラフィックブロックは強力な管理手段となります。

MikroTik RouterOSには「国をブロック」する専用ボタンはありませんが、アドレスリストと一般的なファイアウォールフィルターを使うことで効果的に実現可能です。本チュートリアルではIPレンジの取得からルーターへの適用まで手順を説明します。

ステップ1: IPブロックの取得

国をブロックするには、まずその地域に割り当てられたIPアドレス一覧が必要です。信頼性が高く無料の提供元として知られるのがIPDenyです。頻繁に更新される集約ゾーンファイルを提供しています。

  1. IPDeny.com(特に「IP Country Blocks」セクション)にアクセスします。
  2. ブロックしたい国をリストから探します。
  3. 当該国のゾーンファイル(通常は.txtファイル)をダウンロードします。

注意: IP割当は時間とともに変動します。正当なIPを誤ってブロックしたり、再割当されたものを見逃さないため、定期的な更新が重要です。

access https://www.ipdeny.com/ipblocks/ to full list

ステップ2: RouterOS用データ整形

取得したファイルには生のIPサブネットリスト(例: 1.2.3.0/24)が含まれていますが、MikroTikルーターは特定のコマンド形式での入力を必要とします。Excelなどのスプレッドシートを使いテキスト整形を自動化しましょう。

  1. スプレッドシートソフトを開きます。
  2. B列にIPDenyからコピーしたIPアドレスリストを貼り付けます。
  3. A列にコマンドの接頭文を記入します。以下のテキストを入力してください:
    ip firewall address-list add list=BlockedCountry address=
  4. 新しい列で、以下のような数式で結合します:
    =A1 & B1
  5. 数式を全行にコピーします。

これでルーター用のCLIコマンドが完成します。

Spreadsheet formatting IP addresses into MikroTik CLI commands.

ステップ3: アドレスリストのインポート

整形したコマンドをルーターに読み込みます。これによって参照可能なIPアドレスのグループ(アドレスリスト)が作成されます。

  1. スプレッドシートのコマンドをコピーします。
  2. Winboxを起動し、MikroTikルーターに接続します。
  3. New Terminalを開きます。
  4. ターミナルにコマンドを貼り付けて実行します。

大量のコマンド貼付は処理に数秒かかる場合があります。完了後は、IP > Firewall > Address Listsでリストが正しく追加されていることを確認してください(例:BlockedCountryに数千のエントリが並ぶはずです)。

ステップ4: ドロップルールの作成

対象国のIPが登録されたので、その宛先へのトラフィックをどう扱うか設定します。ファイアウォールフィルタールールを作成し、該当トラフィックを破棄します。

  1. IP > Firewall > Filter Rulesに移動します。
  2. 追加 (+) ボタンで新しいルールを作成します。
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Generalタブ設定:
    • Chain: forward(ルーターを通過するLANからインターネットへのトラフィックに適用)
    • In. Interface: LANブリッジまたはインターフェイスを選択
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Advancedタブ設定:
    • Dst. Address List: 先ほど作成したリストを選択(例:BlockedCountry
  2. Actionタブ設定:
    • Action: drop
Configuration of a firewall drop rule in MikroTik Winbox.

OKを押して保存してください。このルールはファイアウォールリストの上位に移動し、あらゆる「全許可」ルールより先に処理されるようにしましょう。

ヒント: 対象国からのトラフィックもブロックしたい場合、Chainをinput(ルーター宛て)またはforward(LAN宛て)に設定し、Src. Address Listに当該国リストを指定する別ルールを追加してください。

NatCloudによる管理の簡略化

単一ルーターでの管理は手間がかかりませんが、数十台、数百台と増えると更新作業は課題となります。

MKControllerNatCloudは、CGNAT越しでも複数のMikroTik機器をリモート管理可能です。このチュートリアルは手動設定を紹介しましたが、中央管理プラットフォームを使えばスクリプトや設定変更を複数ルーターへ瞬時に展開でき、手動のスプレッドシート作業を不要にできます。こうして常に最新のジオブロックポリシーを維持可能です。

MKControllerについて

上記の内容があなたのMikroTikやインターネット環境の理解向上に役立っていれば幸いです!🚀
設定の微調整からネットワーク管理の秩序づけまで、MKControllerはあなたの作業をシンプルにします。

クラウドによる集中管理、自動セキュリティ更新、誰でも使いこなせるダッシュボードで、オペレーションを確実にアップグレード。

👉 3日間無料トライアルを今すぐ始めるmkcontroller.comで簡単かつ強力なネットワーク管理を体感してください。