Перейти к содержимому
Blog

Как заблокировать трафик в определённые страны на MikroTik

Резюме В этом руководстве показано, как заблокировать сетевой трафик в определённые страны с помощью MikroTik RouterOS. Вы научитесь получать IP-блоки с IPDeny, форматировать их в команды CLI через таблицу и настраивать правило фаервола для ограничения доступа к нежелательным регионам.

Как заблокировать трафик в определённые страны на MikroTik

Управление направлением сетевого трафика — критически важный аспект современной безопасности сети. Будь то соблюдение корпоративных политик или предотвращение доступа пользователей к серверам в высокорискованных регионах, блокировка по странам — мощный инструмент контроля.

Хотя в MikroTik RouterOS нет встроенной кнопки «Заблокировать страну X», это можно эффективно реализовать с помощью Списков адресов и стандартных Фаервол фильтров. В этом уроке мы вручную соберём IP-диапазоны и применим их на маршрутизаторе.

Шаг 1: Получение IP-блоков

Чтобы заблокировать страну, сначала нужно получить список всех IP-адресов, выделенных этому региону. Один из самых надёжных и бесплатных источников — IPDeny. Они предоставляют агрегированные файлы зон, которые часто обновляются.

  1. Перейдите на IPDeny.com (или в раздел «IP Country Blocks»).
  2. Найдите страну, которую хотите заблокировать, в списке.
  3. Скачайте файл зоны (обычно это .txt) для этой страны.

Примечание: Распределение IP-адресов меняется со временем. Важно периодически обновлять эти списки, чтобы не блокировать легитимные новые IP и не пропускать переназначенные.

access https://www.ipdeny.com/ipblocks/ to full list

Шаг 2: Форматирование данных для RouterOS

Файл содержит список IP-подсетей (например, 1.2.3.0/24), но MikroTik ожидает команды в особом формате для импорта. Мы можем использовать таблицу, например, Excel, чтобы автоматически отформатировать текст.

  1. Откройте программу для работы с таблицами.
  2. В столбец B вставьте список IP из файла IPDeny.
  3. В столбец A введите префикс команды: ip firewall address-list add list=BlockedCountry address=
  4. В третий столбец используйте формулу для объединения, например: =A1 & B1
  5. Протяните формулу на все строки.

Теперь у вас есть готовый список CLI-команд для вашего MikroTik.

Spreadsheet formatting IP addresses into MikroTik CLI commands.

Шаг 3: Импорт списка адресов

С подготовленными командами пора загрузить их в маршрутизатор. Это создаст именованный список IP (Address List), на который можно будет ссылаться в правилах.

  1. Скопируйте команды из таблицы.
  2. Откройте Winbox и подключитесь к MikroTik.
  3. Откройте новое окно Терминала.
  4. Вставьте команды напрямую в терминал.

При большом объёме вставка может занять несколько секунд. По окончании проверьте импорт в IP > Firewall > Address Lists — вы увидите тысячи записей под выбранным именем (например, BlockedCountry).

Шаг 4: Создание правила для блокировки

Теперь, когда маршрутизатор знает IP-адреса страны, нужно указать ему, что делать с трафиком туда. Создадим правило фильтрации для сброса пакетов.

  1. Перейдите в IP > Firewall > Filter Rules.
  2. Нажмите кнопку Добавить (+) для создания нового правила.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Настройки на вкладке General:
    • Chain: forward (это относится к трафику, проходящему через маршрутизатор, из вашей LAN в интернет).
    • In. Interface: выберите ваш LAN-мост или интерфейс.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. На вкладке Advanced:
    • Dst. Address List: выберите созданный список (например, BlockedCountry).
  2. На вкладке Action:
    • Action: drop.
Configuration of a firewall drop rule in MikroTik Winbox.

Нажмите OK для сохранения. Поднимите это правило выше в списке фаервола, чтобы его обрабатывали раньше правил «разрешить всё».

Совет: Чтобы также блокировать трафик с этой страны, создайте второе правило с цепочкой input (трафик на маршрутизатор) или forward (трафик в вашу LAN), выставив Src. Address List в списке страны.

Упрощение управления с NatCloud

Ручное управление списками на одном маршрутизаторе возможно, но обновлять их на десятках или сотнях устройств сложно.

NatCloud от MKController позволяет управлять MikroTik-устройствами удалённо, даже за CGNAT. Несмотря на то, что этот урок посвящён ручной настройке, централизованное управление помогает мгновенно распространять скрипты и обновления конфигураций на большое число маршрутизаторов, сохраняя ваши политики – включая геоблоки – всегда актуальными без необходимости работы с таблицами.

О MKController

Надеемся, что эти советы помогут вам лучше ориентироваться в мире MikroTik и Интернета! 🚀
Будь вы тонко настраиваете конфигурации или просто упорядочиваете сетевой хаос, MKController упрощает вашу работу.

С централизованным управлением в облаке, автоматическими обновлениями безопасности и удобной панелью, мы готовы повысить эффективность вашей сети.

👉 Начните бесплатный 3-дневный тест сейчас на mkcontroller.com — и увидьте, как может выглядеть лёгкий контроль над сетью.