Gå til innholdet
Blog

Slik blokkerer du trafikk til spesifikke land på MikroTik

Sammendrag Denne guiden viser hvordan du blokkerer nettverkstrafikk til bestemte land med MikroTik RouterOS. Du lærer å hente IP-blocks fra IPDeny, formatere dem til CLI-kommandoer med regneark, og sette opp en brannmurregel for å begrense tilgang til uønskede geografiske områder.

Slik blokkerer du trafikk til spesifikke land på MikroTik

Å styre hvor nettverkstrafikken går er en kritisk del av moderne nettverkssikkerhet. Enten du følger bedriftsregler eller vil hindre brukere i å nå servere i risikofylte områder, er blokkering av trafikk etter land et effektivt verktøy.

Selv om MikroTik RouterOS ikke har en innebygd “Blokker Land X”-knapp, kan du oppnå dette enkelt med Adresse-lister og standard Brannmur-filtre. Denne veiledningen tar deg gjennom den manuelle prosessen med å samle IP-områder og bruke dem på ruteren.

Steg 1: Skaff IP-blokkene

For å blokkere et land trenger du først en liste over alle IP-adresser tildelt den regionen. En av de mest pålitelige og gratis kildene er IPDeny. De tilbyr aggregerte sonefiler som oppdateres jevnlig.

  1. Gå til IPDeny.com (eller direkte til «IP Country Blocks»-seksjonen).
  2. Finn landet du vil blokkere på listen.
  3. Last ned sonefilen (vanligvis en .txt-fil) for det aktuelle landet.

Merk: IP-tildelinger endres over tid. Det er viktig å oppdatere disse listene regelmessig for å unngå blokkering av nye legitime IP-er eller gå glipp av omfordelte adresser.

access https://www.ipdeny.com/ipblocks/ to full list

Steg 2: Formater dataene for RouterOS

Filen du lastet ned inneholder en rå liste over IP-subnetter (f.eks. 1.2.3.0/24), men MikroTik-ruteren forventer en bestemt kommandoformatering for å importere dem. Vi kan bruke et regnearkprogram som Excel til automatiserte tekstformateringer.

  1. Åpne regnearkprogrammet ditt.
  2. Lim inn IP-adresselisten du lastet ned i Kolonne B.
  3. I Kolonne A skriver vi prefikset for kommandoen. Skriv inn følgende tekst: ip firewall address-list add list=BlockedCountry address=
  4. I en tredje kolonne, bruk en formel for å slå sammen dem. For eksempel: =A1 & B1
  5. Dra formelen ned til alle rader.

Nå har du en komplett liste med CLI-kommandoer klare for ruteren din.

Spreadsheet formatting IP addresses into MikroTik CLI commands.

Steg 3: Importer adresse-listen

Med kommandoene klare, er det tid for å laste dem inn på ruteren. Dette oppretter en navngitt gruppe IP-er (en Adresse-liste) som vi kan referere til i reglene våre.

  1. Kopier kommandoene fra regnearket.
  2. Åpne Winbox og koble til MikroTik-ruteren din.
  3. Åpne et Nytt Terminal-vindu.
  4. Lim kommandoene rett inn i terminalen.

Hvis listen er stor, kan det ta noen sekunder å behandle limingen. Når ferdig, kan du verifisere importen under IP > Firewall > Address Lists. Du skal se tusenvis av oppføringer under listenavnet ditt (f.eks. BlockedCountry).

Steg 4: Opprett blokkeringsregelen

Nå som ruteren vet hvilke IP-er som tilhører mål-landet, må du fortelle hva som skal skje med trafikk til disse. Vi lager en brannmurfilterregel for å droppe denne trafikken.

  1. Gå til IP > Firewall > Filter Rules.
  2. Klikk på Add (+) for å lage en ny regel.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Generelt-fanen:
    • Chain: forward (Dette gjelder trafikk som passerer gjennom ruteren, fra ditt LAN til Internett).
    • In. Interface: Velg LAN-broen eller grensesnittet ditt.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Avansert-fanen:
    • Dst. Address List: Velg listen du opprettet (f.eks. BlockedCountry).
  2. Handling-fanen:
    • Action: drop.
Configuration of a firewall drop rule in MikroTik Winbox.

Klikk OK for å lagre. Flytt regelen høyt opp i brannmurlisten for å sikre at den vurderes før eventuelle “accept all”-regler.

Tips: Hvis du også vil blokkere trafikk fra det landet, kan du lage en egen regel med Chain satt til input (trafikk til ruteren) eller forward (trafikk til LAN), og sette Src. Address List til landets liste.

Forenkle administrasjon med NatCloud

Å håndtere disse listene manuelt på én ruter er mulig, men å holde dem oppdaterte over titalls eller hundrevis av enheter kan være krevende.

NatCloud fra MKController lar deg administrere MikroTik-enheter eksternt, selv bak CGNAT. Selv om denne veiledningen fokuserer på manuell konfigurasjon, hjelper en sentralisert plattform deg å distribuere skript og oppdateringer til mange rutere raskt, slik at sikkerhetspolicyene – som disse geoblokkene – alltid er oppdaterte uten manuelt arbeid i regneark.

Om MKController

Vi håper innsidene ovenfor hjalp deg å navigere MikroTik- og Internett-universet bedre! 🚀
Enten du finjusterer konfigurasjoner eller bare ønsker litt orden i nettverkskaoset, er MKController her for å gjøre livet enklere.

Med sentralisert skyadministrasjon, automatiske sikkerhetsoppdateringer og et dashbord alle kan mestre, har vi det som trengs for å løfte driften din.

👉 Start din gratis 3-dagers prøveperiode nåmkcontroller.com – og opplev hva enkel nettverkskontroll faktisk betyr.