Bloquear Tráfego por País no MikroTik

Resumo O MikroTik RouterOS não tem um botão integrado para “bloquear país X”, mas é possível implementar bloqueio geográfico de forma limpa usando arquivos de zona do IPDeny, uma Address List e uma única regra de filtro de firewall. Este guia percorre as quatro etapas: baixar a lista de bloqueio do país, formatá-la para o RouterOS, importar via terminal do Winbox e criar a regra de drop. O resultado bloqueia todo o tráfego para (ou de) o país escolhido com uma única regra e atualiza facilmente conforme as alocações de IP mudam.

Como bloquear tráfego de um país no MikroTik?

Bloquear tráfego para um país específico no MikroTik significa construir uma lista de endereços com todos os blocos de IP alocados àquele país e, em seguida, adicionar uma regra de drop no firewall que combine com essa lista. O RouterOS não traz um botão “Bloquear País X”, mas a combinação de Address Lists e Firewall Filters reproduz exatamente essa funcionalidade com uma regra de drop e uma lista que pode ser atualizada trimestralmente.

A fonte dos dados é a peça-chave. O IPDeny publica arquivos de zona agregados por país, atualizados com frequência e gratuitos, então você não precisa manter as alocações de IP por conta própria. O fluxo é: baixar o arquivo de zona, colá-lo em uma planilha que prefixa cada linha com um comando RouterOS, colar os comandos resultantes no terminal do roteador e, por fim, adicionar uma única regra de filtro de firewall que descarta tudo que casar com a address list. O processo completo leva cerca de quinze minutos por país depois da primeira vez.

Passo 1: Obter os blocos de IP no IPDeny

Os arquivos de zona do IPDeny são blocos CIDR agregados por país, atualizados periodicamente.

1. Acesse ipdeny.com e vá até a seção IP Country Blocks.
2. Localize o país que deseja bloquear.
3. Baixe o arquivo de zona — normalmente um .txt com um bloco CIDR por linha (por exemplo, 1.2.3.0/24).

As alocações de IP mudam com o tempo, à medida que operadoras transferem blocos entre regiões. Planeje atualizar a lista trimestralmente para não acabar bloqueando IPs legítimos novos nem deixando passar reatribuições.

Passo 2: Formatar os dados para o RouterOS

O arquivo de zona traz apenas os CIDRs brutos; o roteador espera que cada linha seja um comando RouterOS completo. Uma planilha resolve a formatação de forma limpa:

1. Abra o Excel, Google Sheets ou LibreOffice Calc.
2. Na Coluna B, cole a lista de CIDRs do arquivo de zona.
3. Na Coluna A, insira o prefixo de comando em cada linha: /ip firewall address-list add list=BlockedCountry address=
4. Na Coluna C, use uma fórmula de concatenação para juntar: =A1 & B1
5. Arraste a fórmula para baixo cobrindo todas as linhas.

A Coluna C agora contém uma lista completa de comandos RouterOS, um por bloco CIDR, prontos para colar no roteador.

Passo 3: Importar a lista de endereços

1. Copie os comandos gerados na Coluna C da planilha.
2. Abra o Winbox e conecte-se ao roteador MikroTik.
3. Abra uma janela New Terminal.
4. Cole os comandos. Para um arquivo de zona grande, a colagem pode levar alguns segundos para ser processada — deixe terminar.

Verifique a importação abrindo IP → Firewall → Address Lists. Você deve ver milhares de entradas sob o nome da lista (BlockedCountry). Se a contagem ficar muito abaixo do número de linhas do arquivo de zona, verifique problemas de formatação na planilha — espaços extras ou prefixos faltando causam falhas silenciosas durante a colagem.

Passo 4: Criar a regra de drop do firewall

Agora diga ao roteador o que fazer com o tráfego que casa com a lista.

1. Vá em IP → Firewall → Filter Rules.
2. Clique em + para criar uma nova regra.

Aba General:

• Chain: forward (tráfego que passa pelo roteador, da LAN para a internet)
• In. Interface: o bridge ou interface da LAN

Aba Advanced:

• Dst. Address List: BlockedCountry

Aba Action:

• Action: drop

Clique em OK. Mova a regra para o topo da lista de filtros do firewall — normalmente perto do topo da chain forward — para que seja processada antes de qualquer regra accept all que, caso contrário, faria um curto-circuito nela.

Para bloquear também o tráfego vindo desse país, crie uma segunda regra com Chain: input (para tráfego destinado ao próprio roteador) ou Chain: forward (para tráfego destinado à sua LAN) e configure a Src. Address List como BlockedCountry. As duas regras juntas fornecem bloqueio geográfico totalmente bidirecional.

Para controles de firewall e acesso complementares, veja nossos guias de configuração de NAT no MikroTik e bloqueio DNS via AdList no MikroTik.

Dicas

• Use um nome diferente de address-list por país (BlockedCountry_CN, BlockedCountry_RU) quando bloquear várias regiões. Isso facilita muito a auditoria do conjunto de regras depois.
• Agende um script trimestral que rebaixe os arquivos de zona e atualize a lista de endereços. Conjuntos de regras do tipo “configurou-e-esqueceu” desatualizam rápido quando as alocações mudam.
• Registre o tráfego descartado na regra de firewall (na aba Action, habilite log com um prefixo) na primeira semana. O volume mostra se a política está fazendo um trabalho útil ou bloqueando silenciosamente nada.

Dê o próximo passo

Manter listas de bloqueio por país em um único MikroTik é viável com uma planilha e um lembrete trimestral no calendário. Manter isso em dezenas ou centenas de roteadores — cada um podendo precisar de políticas ligeiramente diferentes para clientes distintos — é onde a abordagem manual desmorona.

O MKController distribui as mesmas address lists e regras de firewall para todos os roteadores do seu inventário, atualiza os dados do IPDeny de forma centralizada e mostra a divergência entre os modelos de política e o que está realmente em cada dispositivo. O NATCloud cuida do acesso remoto quando CGNAT ou firewalls rigorosos do cliente bloqueariam o gerenciamento direto.

Inicie seu teste gratuito do MKController