Przejdź do głównej zawartości
Blog

Jak zablokować ruch do konkretnych krajów na MikroTik

Podsumowanie Ten przewodnik pokazuje, jak zablokować ruch sieciowy do konkretnych krajów za pomocą MikroTik RouterOS. Nauczysz się pobierać zakresy IP z IPDeny, formatować je do poleceń CLI oraz konfigurować regułę firewall blokującą dostęp do wybranych regionów geograficznych.

Jak zablokować ruch do konkretnych krajów na MikroTik

Zarządzanie kierunkiem ruchu w sieci to kluczowy element nowoczesnego bezpieczeństwa sieciowego. Niezależnie od tego, czy spełniasz wymagania firmowe, czy chcesz po prostu uniemożliwić użytkownikom dostęp do serwerów w regionach podwyższonego ryzyka, blokowanie ruchu według kraju to skuteczna metoda kontroli.

Choć RouterOS MikroTik nie oferuje przycisku „Zablokuj kraj X”, można to skutecznie osiągnąć za pomocą List adresów oraz standardowych Filtrów firewall. Ten poradnik przeprowadzi Cię przez ręczny proces pobierania zakresów IP i zastosowania ich w routerze.

Krok 1: Pozyskanie zakresów IP

Aby zablokować kraj, potrzebujesz listy wszystkich adresów IP przypisanych do tego regionu. Jednym z najbardziej niezawodnych i bezpłatnych źródeł takich danych jest IPDeny. Udostępniają oni często aktualizowane pliki strefowe.

  1. Przejdź do IPDeny.com (lub do sekcji „IP Country Blocks”).
  2. Znajdź kraj, który chcesz zablokować na liście.
  3. Pobierz plik strefy (zazwyczaj plik .txt) dla tego kraju.

Uwaga: Przydziały IP zmieniają się z czasem. Należy okresowo aktualizować te listy, by nie blokować nowych, legalnych adresów lub nie przeoczyć tych przepisanych.

access https://www.ipdeny.com/ipblocks/ to full list

Krok 2: Formatowanie danych dla RouterOS

Pobrany plik zawiera surową listę podsieci IP (np. 1.2.3.0/24), ale Twój router MikroTik oczekuje poleceń w określonym formacie do importu. Możemy użyć arkusza kalkulacyjnego, jak Excel, aby zautomatyzować formatowanie tekstu.

  1. Otwórz swój program do arkuszy kalkulacyjnych.
  2. W kolumnie B wklej listę adresów IP pobraną z IPDeny.
  3. W kolumnie A wpisz początek polecenia:
    ip firewall address-list add list=BlockedCountry address=
  4. W trzeciej kolumnie użyj formuły łączącej te teksty, na przykład:
    =A1 & B1
  5. Przeciągnij formułę w dół, aby objąć wszystkie wiersze.

Otrzymasz kompletną listę poleceń CLI gotowych do wprowadzenia w routerze.

Spreadsheet formatting IP addresses into MikroTik CLI commands.

Krok 3: Importowanie listy adresów

Gdy polecenia są gotowe, czas załadować je do routera. Utworzy to nazwany zbiór adresów IP (Listę adresów), do którego odwołamy się w regułach.

  1. Skopiuj wygenerowane polecenia z arkusza kalkulacyjnego.
  2. Otwórz Winbox i połącz się z routerem MikroTik.
  3. Otwórz nowe okno Terminala.
  4. Wklej polecenia bezpośrednio do terminala.

Jeśli lista jest bardzo długa, wklejanie może chwilę potrwać. Po zakończeniu możesz sprawdzić import, przechodząc do IP > Firewall > Address Lists. Powinieneś zobaczyć tysiące wpisów pod nazwą listy, którą użyłeś (np. BlockedCountry).

Krok 4: Utworzenie reguły blokującej

Teraz gdy router zna adresy z danego kraju, musisz powiedzieć mu, co zrobić z ruchem skierowanym do tych adresów. Utworzymy regułę filtra firewall, która odrzuci taki ruch.

  1. Przejdź do IP > Firewall > Filter Rules.
  2. Kliknij Dodaj (+), by stworzyć nową regułę.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Ustawienia zakładki Ogólne:
    • Chain: forward (dotyczy ruchu przechodzącego przez router z sieci LAN do Internetu).
    • Interfejs wejściowy: wybierz most LAN lub odpowiedni interfejs.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Ustawienia zakładki Zaawansowane:
    • Lista adresów docelowych: wybierz utworzoną listę (np. BlockedCountry).
  2. Ustawienia zakładki Akcja:
    • Akcja: drop.
Configuration of a firewall drop rule in MikroTik Winbox.

Kliknij OK, aby zapisać. Przenieś tę regułę wysoko na liście firewall, aby była sprawdzana przed innymi regułami „accept all”.

Wskazówka: Jeśli chcesz też zablokować ruch pochodzący z danego kraju, utwórz drugą regułę z łańcuchem input (dla ruchu do routera) lub forward (dla ruchu do LAN) i ustaw Lista adresów źródłowych na listę kraju.

Ułatwienie zarządzania dzięki NatCloud

Zarządzanie tymi listami ręcznie na jednym routerze jest możliwe, ale utrzymanie ich aktualności na dziesiątkach lub setkach urządzeń to wyzwanie.

NatCloud od MKController umożliwia zdalne zarządzanie urządzeniami MikroTik, nawet za CGNAT. Ten przewodnik skupia się na ręcznej konfiguracji, ale korzystanie z centralnej platformy zarządzania pozwala natychmiastowo wysyłać skrypty i aktualizacje do wielu routerów, gwarantując aktualność polityk bezpieczeństwa — jak te geoblokady — bez konieczności ręcznej pracy na arkuszach.

O MKController

Mamy nadzieję, że powyższe wskazówki pomogły Ci lepiej poruszać się w świecie MikroTik i Internetu! 🚀
Niezależnie czy dostrajasz konfiguracje, czy chcesz uporządkować sieciowy chaos, MKController uprości Ci życie.

Dzięki centralnemu zarządzaniu w chmurze, automatycznym aktualizacjom bezpieczeństwa i intuicyjnemu panelowi każdy może skutecznie zarządzać siecią.

👉 Rozpocznij bezpłatny, 3-dniowy okres próbny na mkcontroller.com — i przekonaj się, czym naprawdę jest łatwa kontrola sieci.