Pular para o conteúdo
Blog

Como Bloquear Tráfego por País no MikroTik

Resumo Este guia mostra como bloquear o tráfego de rede para países específicos usando MikroTik RouterOS. Você aprenderá a obter blocos de IP do IPDeny, formatá-los em comandos CLI via planilha e configurar uma regra de firewall para restringir acesso por região geográfica.

Como Bloquear Tráfego por País no MikroTik

Controlar o destino do tráfego da sua rede é essencial para a segurança atual. Seja para cumprir políticas corporativas ou impedir acessos a servidores em regiões de risco, bloquear tráfego por país é um controle poderoso.

Embora o MikroTik RouterOS não tenha um botão “Bloquear País X” embutido, é possível fazer isso usando Listas de Endereços e filtros padrão de Firewall. Este tutorial mostra como obter os intervalos de IP manualmente e aplicar no seu roteador.

Passo 1: Obtendo os Blocos de IP

Para bloquear um país, você precisa primeiro da lista de todos os endereços IP atribuídos àquela região. Uma fonte gratuita e confiável é o IPDeny, que oferece arquivos de zona atualizados com frequência.

  1. Acesse IPDeny.com (na seção “IP Country Blocks”).
  2. Localize o país que deseja bloquear na lista.
  3. Baixe o arquivo de zona (normalmente um arquivo .txt) para esse país.

Nota: As alocações de IP mudam com o tempo. Atualize essas listas periodicamente para não bloquear IPs legítimos novos ou perder endereços realocados.

access https://www.ipdeny.com/ipblocks/ to full list

Passo 2: Formatando os Dados para RouterOS

O arquivo baixado contém uma lista bruta de sub-redes IP (ex.: 1.2.3.0/24), mas o MikroTik espera um formato de comando específico para importar. Podemos usar uma planilha, como Excel, para automatizar essa formatação.

  1. Abra seu programa de planilha.
  2. Na Coluna B, cole a lista de IPs baixada do IPDeny.
  3. Na Coluna A, insira o prefixo do comando: ip firewall address-list add list=BlockedCountry address=
  4. Em uma terceira coluna, combine as duas com uma fórmula, por exemplo: =A1 & B1
  5. Arraste a fórmula para todas as linhas.

Assim você terá uma lista completa de comandos CLI para enviar ao roteador.

Spreadsheet formatting IP addresses into MikroTik CLI commands.

Passo 3: Importando a Lista de Endereços

Com os comandos prontos, é hora de carregá-los no roteador. Isso cria um grupo nomeado de IPs (uma Lista de Endereços) para usar nas regras.

  1. Copie os comandos gerados da planilha.
  2. Abra o Winbox e conecte-se ao seu MikroTik.
  3. Abra uma janela de Novo Terminal.
  4. Cole os comandos diretamente no terminal.

Se a lista for grande, a colagem pode demorar alguns segundos. Quando completar, verifique em IP > Firewall > Address Lists. Deve haver milhares de entradas com o nome escolhido (ex.: BlockedCountry).

Passo 4: Criando a Regra de Drop

Agora que o roteador sabe quais IPs pertencem ao país, diga o que fazer com o tráfego destinado a eles. Criaremos uma regra de filtro para descartar esse tráfego.

  1. Acesse IP > Firewall > Filter Rules.
  2. Clique em Adicionar (+) para criar uma nova regra.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Configurações da aba General:
    • Chain: forward (aplica-se ao tráfego que passa pelo roteador, do LAN para a Internet).
    • In. Interface: selecione sua bridge ou interface LAN.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Configurações da aba Advanced:
    • Dst. Address List: escolha a lista criada (ex.: BlockedCountry).
  2. Configurações da aba Action:
    • Action: drop.
Configuration of a firewall drop rule in MikroTik Winbox.

Clique em OK para salvar. Mova essa regra para cima na lista de firewall para garantir que seja processada antes de regras “aceitar tudo”.

Dica: Para bloquear também o tráfego proveniente desse país, crie uma segunda regra com Chain input (tráfego para o roteador) ou forward (para sua LAN) e defina Src. Address List para sua lista de país.

Facilitando o Gerenciamento com NatCloud

Gerenciar essas listas manualmente em um roteador é viável, mas manter várias unidades atualizadas é desafiador.

NatCloud, da MKController, permite gerenciar seus MikroTik remotamente, mesmo atrás de CGNAT. Embora este tutorial foque na configuração manual, usar uma plataforma centralizada facilita enviar scripts e atualizações a múltiplos roteadores instantaneamente, garantindo suas políticas de segurança — como geobloqueios — sempre atualizadas sem trabalho manual.

Sobre a MKController

Esperamos que as dicas acima tenham ajudado você a navegar melhor no universo MikroTik e da Internet! 🚀
Seja otimizando configurações ou organizando a rede caótica, a MKController torna sua vida mais simples.

Com gestão em nuvem centralizada, atualizações automáticas de segurança e um painel acessível a todos, temos o que você precisa para elevar sua operação.

👉 Comece sua avaliação grátis de 3 dias agora em mkcontroller.com — e veja como é ter controle de rede sem esforço.