Skip to content
Blog

Kaip Blokuoti Srautą Į Tam tikras Šalis MikroTik

Santrauka Šiame vadove paaiškinama, kaip blokuoti tinklo srautą į tam tikras šalis naudojant MikroTik RouterOS. Sužinosite, kaip gauti IP blokus iš IPDeny, suformatuoti juos CLI komandų forma naudojant skaičiuoklę ir sukonfigūruoti ugniasienės blokavimo taisyklę, apribojančią prieigą prie nepageidaujamų geografinių regionų.

Kaip Blokuoti Srautą Į Tam tikras Šalis MikroTik

Tinklo srauto maršruto valdymas yra svarbi šiuolaikinės tinklo saugumo dalis. Nesvarbu, ar laikotės įmonės politikos, ar tiesiog siekiate užkirsti kelią vartotojams pasiekti serverius didelės rizikos regionuose, srauto blokavimas pagal šalį yra efektyvus valdymo būdas.

Nors MikroTik RouterOS neturi įmontuoto mygtuko „Blokuoti X šalį“, tai galima veiksmingai padaryti naudojant Adresų Sąrašus ir įprastas Ugnies Sienos Filtravimo taisykles. Šis vadovas paaiškins rankinį IP diapazonų rinkimą ir jų pritaikymą maršrutizatoriuje.

1 ŽINGSNIS: Gauti IP Blokus

Norėdami užblokuoti šalį turite gauti visų tos šalies IP adresų sąrašą. Vienas patikimiausių ir nemokamų šaltinių yra IPDeny. Jie pateikia dažnai atnaujinamus zonų failus.

  1. Eikite į IPDeny.com (arba tiesiog į jų skyrių „IP Country Blocks“).
  2. Suraskite sąraše šalį, kurią norite užblokuoti.
  3. Atsisiųskite šiai šaliai skirtą zonos failą (dažniausiai .txt formatas).

Pastaba: IP paskirstymai laikui bėgant keičiasi. Svarbu periodiškai atnaujinti sąrašus, kad nebūtų užblokuoti nauji teisėti IP ar praleisti perskirstyti adresai.

access https://www.ipdeny.com/ipblocks/ to full list

2 ŽINGSNIS: Duomenų Formavimas RouterOS

Atsisiųstame faile yra žaliųjų IP potinklių sąrašas (pvz., 1.2.3.0/24), bet MikroTik maršrutizatorius reikalauja specifinės komandos formato importui. Tam galima patogiai naudoti skaičiuoklę, pvz., Excel, tekstui suformatuoti.

  1. Atidarykite skaičiuoklės programą.
  2. Į B stulpelį įklijuokite IP adresų sąrašą iš IPDeny.
  3. Į A stulpelį įrašykite komandos pradžią: ip firewall address-list add list=BlockedCountry address=
  4. Trečiame stulpelyje suformuokite derinį, pvz.: =A1 & B1
  5. Nukopijuokite formulę žemyn visoms eilutėms.

Dabar turite visą CLI komandų sąrašą paruoštą maršrutizatoriui.

Spreadsheet formatting IP addresses into MikroTik CLI commands.

3 ŽINGSNIS: Adresų Sąrašo Importavimas

Pasiruošę komandas įkelkite jas į maršrutizatorių. Taip sukuriama pavadinta IP grupė (Adresų Sąrašas), kurią naudosime taisyklėse.

  1. Nukopijuokite komandas iš skaičiuoklės.
  2. Atidarykite Winbox ir prisijunkite prie MikroTik maršrutizatoriaus.
  3. Atidarykite Naują Terminalą.
  4. Įklijuokite komandas tiesiai į terminalą.

Jei sąrašas didelis, įklijavimas gali užtrukti keletą sekundžių. Baigus patikrinkite importą eikite į IP > Firewall > Address Lists. Matysite tūkstančius įrašų jūsų sukurtame sąraše (pvz., BlockedCountry).

4 ŽINGSNIS: Blokavimo Taisyklės Kūrimas

Dabar, kai maršrutizatorius žino, kurie IP priklauso šalies regionui, reikia nustatyti, ką daryti su į jį nukreiptu srautu. Sukursime ugniasienės filtravimo taisyklę srautui blokuoti.

  1. Eikite į IP > Firewall > Filter Rules.
  2. Paspauskite Pridėti (+), kad sukurtumėte naują taisyklę.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Bendroji skiltis (General tab):
    • Chain: forward (taikoma srautui, pereinančiam per maršrutizatorių iš LAN į internetą).
    • In. Interface: Pasirinkite LAN tilto ar tinklo sąsają.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Išplėstinė skiltis (Advanced tab):
    • Dst. Address List: Pasirinkite sukurtą adresų sąrašą (pvz., BlockedCountry).
  2. Veiksmo skiltis (Action tab):
    • Action: drop.
Configuration of a firewall drop rule in MikroTik Winbox.

Paspauskite OK ir išsaugokite. Šią taisyklę pakelkite aukštai ugniasienės sąraše, kad ji būtų taikoma prieš taisykles, leidžiančias viską.

Patarimas: Norėdami blokuoti ir atvažiuojantį srautą iš tos šalies, galite sukurti antrą taisyklę su Chain input (maršrutizatoriaus srautui) arba forward (LAN srautui) ir nustatyti Src. Address List į savo adresų sąrašą.

NatCloud – Valdymo Supaprastinimas

Rankinis šių sąrašų valdymas viename maršrutizatoriuje įmanomas, bet kelių dešimčių ar šimtų įrenginių atnaujinimas yra sudėtingas.

NatCloud iš MKController leidžia valdyti MikroTik įrenginius nuotoliniu būdu, net už CGNAT. Nors šis vadovas skiriamas rankinei konfigūracijai, centralizuota platforma leidžia vienu metu tiesiogiai siųsti skriptus ir atnaujinimus keliems maršrutizatoriams, užtikrinant, kad jūsų saugumo taisyklės – pavyzdžiui, šie geoblokai – visada būtų atnaujinti be rankinio darbo su skaičiuokle.

Apie MKController

Tikimės, kad aukščiau pateikti patarimai padėjo geriau orientuotis MikroTik ir interneto pasaulyje! 🚀
Nesvarbu, ar optimizuojate konfigūracijas, ar tiesiog norite įvesti tvarką tinkle, MKController padės tai padaryti paprasčiau.

Su centralizuotu debesies valdymu, automatizuotais saugumo atnaujinimais ir lengvai suprantamu valdymo skydeliu turite viską, ko reikia tinklo valdymo lygio pakėlimui.

👉 Pradėkite nemokamą 3 dienų bandomąją versiją dabar adresu mkcontroller.com – pamatykite, kaip atrodo tikras lengvas tinklo valdymas.