Pāriet uz saturu
Blog

Kā Bloķēt Satiksmi No Noteiktām Valstīm MikroTik

Kopsavilkums Šī rokasgrāmata parāda, kā MikroTik RouterOS bloķēt tīkla satiksmi uz konkrētām valstīm. Tu iemācīsies iegūt IP blokus no IPDeny, sakārtot tos komandu formātā, izmantojot izklājlapu, un konfigurēt ugunsmūra bloķēšanas noteikumu nevēlamu ģeogrāfisku zonu ierobežošanai.

Kā Bloķēt Satiksmi No Noteiktām Valstīm MikroTik

Tīkla satiksmes virziena pārvaldība ir būtiska mūsdienu tīkla drošības sastāvdaļa. Vai nu ievērojot uzņēmuma politiku, vai vienkārši neļaujot lietotājiem piekļūt serveriem riska reģionos, satiksmes bloķēšana pēc valsts ir efektīvs kontroles mehānisms.

Lai gan MikroTik RouterOS nav iebūvētas pogas “Bloķēt valsti X”, to var efektīvi izdarīt, izmantojot Adresu sarakstus un standarta Ugunsmūra filtrus. Šis ceļvedis soli pa solim parāda, kā manuāli iegūt IP diapazonus un pielietot tos maršrutētājā.

1. solis: IP bloku iegūšana

Lai bloķētu valsti, vispirms nepieciešams saraksts ar visām šīs valsts IP adresēm. Viens no uzticamākajiem un bezmaksas avotiem ir IPDeny. Tas nodrošina regulāri atjaunotas zonu datnes.

  1. Apmeklē IPDeny.com (vai tieši sadaļu “IP Country Blocks”).
  2. Sarakstā atrodi valsti, kuru vēlies bloķēt.
  3. Lejupielādē šo valsti atbilstošo zonu datni (parasti .txt formātā).

Piezīme: IP sadales laika gaitā mainās. Ir svarīgi periodiski atjaunināt sarakstus, lai neizslēgtu jaunas leģitīmas IP adreses vai neizlaistu pārpiešķirtās.

access https://www.ipdeny.com/ipblocks/ to full list

2. solis: datu formatēšana RouterOS

Lejupielādētajā failā ir IP apakštīklu saraksts (piemēram, 1.2.3.0/24), bet MikroTik maršrutētājs gaida konkrētu komandu formātu. To var automatizēt, izmantojot izklājlapu, piemēram, Excel.

  1. Atver izklājlapu programmu.
  2. B kolonnā ielīmē IP sarakstu no IPDeny.
  3. A kolonnā uzraksti komandas prefiksu: ip firewall address-list add list=BlockedCountry address=
  4. Trešajā kolonnā izmanto formulu, lai apvienotu tekstu, piemēram: =A1 & B1
  5. Nokopē formulu visām rindām.

Tagad tev ir gatavs komandu saraksts MikroTik CLI.

Spreadsheet formatting IP addresses into MikroTik CLI commands.

3. solis: adresu saraksta importēšana

Kad komandas ir sagatavotas, ielādē tās maršrutētājā. Tas izveido IP grupu (Adresu sarakstu), ko var izmantot noteikumos.

  1. Nokopē komandas no izklājlapas.
  2. Atver Winbox un pieslēdzies MikroTik maršrutētājam.
  3. Atver jaunu termināļa logu.
  4. Ielīmē komandas terminālī.

Ja saraksts ir liels, ielīmēšana var prasīt dažas sekundes. Pēc tam pārbaudi importu sadaļā IP > Firewall > Address Lists — tur jāredz tūkstošiem ierakstu izvēlētajā saraksta vārdā (piemēram, BlockedCountry).

4. solis: bloķēšanas noteikuma izveide

Tagad, kad maršrutētājs zina, kuras IP pieder mērķa valstij, jānorāda, ko darīt ar no turienes nākošo satiksmi. Izveidosim ugunsmūra filtrēšanas noteikumu, kas šo satiksmi bloķēs.

  1. Dodies uz IP > Firewall > Filter Rules.
  2. Spied pogu Add (+), lai pievienotu jaunu noteikumu.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Vispārīgie iestatījumi:
    • Chain: forward (attiecas uz satiksmi, kas iet caur maršrutētāju no LAN uz internetu).
    • In. Interface: izvēlies savu LAN tiltu vai interfeisu.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Papildu iestatījumi:
    • Dst. Address List: izvēlies izveidoto sarakstu (piemēram, BlockedCountry).
  2. Darbības iestatījumi:
    • Action: drop.
Configuration of a firewall drop rule in MikroTik Winbox.

Spied OK, lai saglabātu. Pārvieto šo noteikumu uz augšu ugunsmūra sarakstā, lai tas tiktu apstrādāts pirms citiem “pieņemt visus” noteikumiem.

Padoms: Ja vēlies bloķēt arī ienākošo satiksmi no šīs valsts, pievieno vēl vienu noteikumu ar ķēdi input (maršrutētāja satiksmei) vai forward (satiksmei uz LAN), un izvēlies Src. Address List attiecīgajam valsts sarakstam.

Vienkāršota pārvaldība ar NatCloud

Šo sarakstu manuāla uzturēšana vienā maršrutētājā ir izdarāma, bet atjauninājumu nodrošināšana desmitiem vai simtiem ierīču ir izaicinājums.

NatCloud no MKController ļauj attālināti pārvaldīt MikroTik ierīces, pat aiz CGNAT. Lai gan šis ceļvedis koncentrējas uz manuālu konfigurāciju, centralizēta pārvaldības platforma palīdz uzreiz sūtīt skriptus un atjauninājumus vairākiem maršrutētājiem, nodrošinot, ka drošības politika—piemēram, ģeobloķi—vienmēr ir aktuāla bez manuālas izklājlapu apkopes.

Par MKController

Ceram, ka šī informācija palīdzēja labāk orientēties MikroTik un interneta vidē! 🚀
Neatkarīgi no tā, vai pielāgo konfigurācijas vai vēlies sakārtot tīkla haosu, MKController ir šeit, lai vienkāršotu tavu dzīvi.

Ar centralizētu mākoņa pārvaldību, automatizētiem drošības atjauninājumiem un pārskatu paneļiem, ko ikviens var apgūt, mums ir visu nepieciešamo, lai uzlabotu tavu darbību.

👉 Sāc bezmaksas 3 dienu izmēģinājumu tagad vietnē mkcontroller.com — un redzi, kā izskatās vienkārša tīkla pārvaldība.