Sari la conținut
Blog

Cum să blochezi traficul către țări specifice pe MikroTik

Rezumat Acest ghid demonstrează cum să blocați traficul de rețea către țări specifice folosind MikroTik RouterOS. Veți învăța să preluați blocuri IP de la IPDeny, să le formatați în comenzi CLI folosind un tabel și să configurați o regulă firewall pentru a restricționa accesul la regiuni geografice nedorite.

Cum să blochezi traficul către țări specifice pe MikroTik

Gestionarea destinației traficului din rețeaua ta este esențială pentru securitatea modernă a rețelelor. Fie că respecți politici corporative sau dorești să previi utilizatorii să acceseze servere din regiuni cu risc ridicat, blocarea traficului pe țări este un control puternic.

Deși MikroTik RouterOS nu oferă un buton dedicat „Blochează țara X”, poți realiza acest lucru eficient folosind Listele de Adrese și Filtrele Firewall obișnuite. Acest tutorial te ghidează pas cu pas pentru a aduna blocuri IP și a le aplica pe router.

Pasul 1: Obținerea blocurilor IP

Pentru a bloca o țară, ai nevoie mai întâi de o listă cu toate adresele IP alocate acelei regiuni. Una dintre cele mai fiabile și gratuite surse este IPDeny, care oferă fișiere de zonă actualizate frecvent.

  1. Accesează IPDeny.com (sau secțiunea lor dedicată „Blocuri IP pe țări”).
  2. Găsește țara pe care vrei să o blochezi în listă.
  3. Descarcă fișierul de zonă (de obicei un fișier .txt) pentru țara respectivă.

Notă: Alocările IP se schimbă în timp. Este important să actualizezi periodic aceste liste pentru a nu bloca IP-uri legitime noi sau a omite pe cele redistribuite.

access https://www.ipdeny.com/ipblocks/ to full list

Pasul 2: Formatarea datelor pentru RouterOS

Fișierul descărcat conține o listă brută de subrețele IP (ex: 1.2.3.0/24), dar routerul MikroTik așteaptă un format de comandă specific pentru a le importa. Putem folosi un program de calcul tabelar precum Excel pentru a automatiza această conversie de text.

  1. Deschide aplicația ta de calcul tabelar.
  2. În Coloana B, lipește lista de adrese IP descărcată de la IPDeny.
  3. În Coloana A, scriem prefixul comenzii. Introdu textul: ip firewall address-list add list=BlockedCountry address=
  4. Într-o a treia coloană, combinăm textul folosind o formulă, de exemplu: =A1 & B1
  5. Trage formula în jos pentru toate rândurile.

Ai acum o listă completă de comenzi CLI gata de folosit pe router.

Spreadsheet formatting IP addresses into MikroTik CLI commands.

Pasul 3: Importarea listei de adrese

Cu comenzile pregătite, este momentul să le încarci în router. Aceasta va crea un grup de adrese (Address List) la care ne putem referi în reguli.

  1. Copiază comenzile generate din tabel.
  2. Deschide Winbox și conectează-te la routerul MikroTik.
  3. Deschide o fereastră nouă de Terminal.
  4. Lipește comenzile direct în terminal.

Dacă lista este foarte lungă, procesarea va dura câteva secunde. După ce s-a terminat, poți verifica importul mergând în IP > Firewall > Address Lists. Ar trebui să vezi mii de intrări în lista numită (ex: BlockedCountry).

Pasul 4: Crearea regulii de blocare (drop)

Acum că routerul știe ce IP-uri aparțin țării vizate, trebuie să îi spui ce să facă cu traficul destinat acelor adrese. Vom crea o regulă de filtrare firewall pentru a respinge acest trafic.

  1. Mergi la IP > Firewall > Filter Rules.
  2. Apasă butonul Add (+) pentru o nouă regulă.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Setările din tab-ul General:
    • Chain: forward (se aplică traficului ce trece prin router, de la LAN spre Internet).
    • In. Interface: Selectează bridge-ul sau interfața LAN.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Setările din tab-ul Advanced:
    • Dst. Address List: Alege lista creată (ex: BlockedCountry).
  2. Setările din tab-ul Action:
    • Action: drop.
Configuration of a firewall drop rule in MikroTik Winbox.

Apasă OK pentru a salva. Mută această regulă cât mai sus în lista firewall pentru a fi procesată înaintea regulilor de tip “accept all”.

Sfat: Dacă dorești să blochezi și traficul venit din acea țară, creează o a doua regulă cu Chain setat pe input (trafic către router) sau forward (trafic către LAN) și setează Src. Address List pe lista țării respective.

Simplificarea managementului cu NatCloud

Gestionarea manuală a acestor liste pe un singur router este fezabilă, dar menținerea lor actualizate pe zeci sau sute de dispozitive este o provocare.

NatCloud de la MKController îți permite să administrezi dispozitivele MikroTik de la distanță, chiar și în spatele CGNAT. Deși acest tutorial este pentru configurare manuală, folosirea unei platforme centralizate te ajută să trimiți scripturi și actualizări de configurație către multiple routere instantaneu, garantând că politicile tale de securitate—precum geoblocările—sunt mereu actualizate fără muncă repetitivă cu foile de calcul.

Despre MKController

Sperăm că informațiile de mai sus te-au ajutat să navighezi mai bine în universul MikroTik și Internet! 🚀
Fie că ajustezi setări fine sau doar vrei să pui ordine în haosul rețelei, MKController este aici pentru a-ți simplifica viața.

Cu management cloud centralizat, actualizări automate de securitate și un dashboard intuitiv, suntem pregătiți să îți îmbunătățim operațiunile.

👉 Începe acum trialul gratuit de 3 zile pe mkcontroller.com — și descoperă cum arată controlul de rețea simplificat.