Preskočiť na obsah
Blog

Ako blokovať prevádzku do konkrétnych krajín na MikroTik

Zhrnutie Tento návod ukazuje, ako zablokovať sieťovú prevádzku do konkrétnych krajín pomocou MikroTik RouterOS. Naučíte sa získať IP bloky zo stránky IPDeny, formátovať ich na príkazy CLI cez tabuľkový procesor a nastaviť firewall pravidlo na obmedzenie prístupu do nežiaducich geografických oblastí.

Ako blokovať prevádzku do konkrétnych krajín na MikroTik

Riadenie smerovania vašej sieťovej prevádzky je kľúčovou súčasťou modernej bezpečnosti siete. Či už dodržiavate firemné politiky alebo chcete zabrániť používateľom v prístupe k serverom v rizikových regiónoch, blokovanie prevádzky podľa krajiny je silný nástroj.

Hoci MikroTik RouterOS nemá zabudované tlačidlo „Blokovať krajinu X“, môžete to efektívne dosiahnuť pomocou Address Lists a štandardných Firewall Filterov. Tento tutoriál vás prevedie manuálnym procesom zhromažďovania rozsahov IP a ich aplikácie na váš router.

Krok 1: Získanie IP blokov

Na zablokovanie krajiny najskôr potrebujete zoznam všetkých IP adries priradených k danej oblasti. Jedným z najspoľahlivejších a bezplatných zdrojov týchto údajov je IPDeny, ktorý poskytuje často aktualizované agregované zónové súbory.

  1. Prejdite na IPDeny.com (alebo priamo do sekcie “IP Country Blocks”).
  2. Vyhľadajte krajinu, ktorú chcete zablokovať.
  3. Stiahnite si zónový súbor (väčšinou .txt) pre túto krajinu.

Poznámka: Alokácie IP sa časom menia. Je dôležité tieto zoznamy pravidelne aktualizovať, aby ste neblokovali nové legitímne IP alebo nepremeškali zmeny v prideľovaní.

access https://www.ipdeny.com/ipblocks/ to full list

Krok 2: Formátovanie údajov pre RouterOS

Stiahnutý súbor obsahuje zoznam IP podsietí (napr. 1.2.3.0/24), ale váš MikroTik router očakáva špecifický formát príkazov pre ich import. Pomocou tabuľkového procesora ako Excel môžeme automatizovať formátovanie textu.

  1. Otvorte tabuľkový procesor.
  2. Do stĺpca B vložte zoznam IP adries stiahnutých z IPDeny.
  3. Do stĺpca A zadajte prefix príkazu:
    ip firewall address-list add list=BlockedCountry address=
  4. V treťom stĺpci použite vzorec na ich spojenie, napríklad:
    =A1 & B1
  5. Potiahnite vzorec pre všetky riadky.

Teraz máte kompletný zoznam CLI príkazov pripravených na import do routeru.

Spreadsheet formatting IP addresses into MikroTik CLI commands.

Krok 3: Importovanie address listu

Keď máte príkazy pripravené, načítajte ich do routera. Tým sa vytvorí pomenovaná skupina IP (Address List), ktorú môžeme použiť vo firewall pravidlách.

  1. Skopírujte príkazy z tabuľky.
  2. Otvorte Winbox a prihláste sa do MikroTik routera.
  3. Spustite Nový terminál.
  4. Vložte do terminálu príkazy.

Ak je zoznam veľký, vkladanie môže chvíľu trvať. Po dokončení si overte import v IP > Firewall > Address Lists. Mali by ste vidieť tisíce záznamov pod názvom zoznamu (napr. BlockedCountry).

Krok 4: Vytvorenie Drop pravidla

Router už vie, ktoré IP patria cieľovej krajine, teraz mu musíte povedať, čo má robiť s týmto smerovaním. Vytvoríme firewall filter pravidlo na zablokovanie tejto prevádzky.

  1. Prejdite do IP > Firewall > Filter Rules.
  2. Kliknite na tlačidlo Pridať (+) pre nové pravidlo.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Nastavenia záložky Všeobecné:
    • Reťazec (Chain): forward (platí pre prevádzku prechádzajúcu routerom, z vašej LAN do internetu).
    • Vstupné rozhranie (In. Interface): vyberte váš LAN bridge alebo iné rozhranie.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Nastavenia záložky Rozšírené:
    • Cieľový address list (Dst. Address List): vyberte zoznam, ktorý ste vytvorili (napr. BlockedCountry).
  2. Nastavenia záložky Akcia:
    • Akcia (Action): drop.
Configuration of a firewall drop rule in MikroTik Winbox.

Kliknite na OK pre uloženie. Presuňte toto pravidlo nahor v zozname firewallu, aby sa spracovalo pred akýmkoľvek “accept all” pravidlom.

Tip: Ak chcete blokovať aj prevádzku prichádzajúcu z danej krajiny, vytvorte ďalšie pravidlo s reťazcom nastaveným na input (pre prevádzku smerovanú na router) alebo forward (pre prevádzku do LAN) a nastavte Src. Address List na váš country list.

Zjednodušenie správy s NatCloud

Manuálna správa týchto zoznamov na jednom routery je možná, ale aktualizácia desiatok alebo stoviek zariadení je náročná.

NatCloud od MKController vám umožňuje spravovať MikroTik zariadenia na diaľku, aj za CGNAT. Tento návod sa sústredí na manuálnu konfiguráciu, no použitie centralizovanej platformy uľahčuje distribúciu skriptov a aktualizácií na viac routerov okamžite, čím zabezpečí, že bezpečnostné politiky – ako geobloky – sú stále aktuálne bez manuálnej práce s tabuľkami.

O MKController

Dúfame, že vám tieto informácie pomohli lepšie zvládnuť váš MikroTik a internetový svet! 🚀
Či už doladíte konfigurácie alebo sa snažíte priniesť poriadok do sieťového chaosu, MKController je tu, aby vám uľahčil život.

S centralizovanou správou v cloude, automatickými bezpečnostnými aktualizáciami a prehľadným dashboardom, ktorý zvládne každý, máme to, čo potrebujete na vylepšenie vašej prevádzky.

👉 Vyskúšajte 3-dňovú bezplatnú trial verziu na mkcontroller.com a zažite, ako vyzerá skutočne jednoduchá sieťová kontrola.