Skip to content
Blog

Kako blokirati promet do določenih držav na MikroTik

Povzetek Ta navodila prikazujejo, kako blokirati omrežni promet do določenih držav z uporabo MikroTik RouterOS. Naučili se boste pridobiti IP bloke iz IPDeny, jih formatirati v CLI ukaze s pomočjo preglednice in nastaviti pravilo požarnega zidu za omejitev dostopa do nezaželenih geografskih območij.

Kako blokirati promet do določenih držav na MikroTik

Upravljanje usmeritve omrežnega prometa je ključni del sodobne varnosti omrežja. Ne glede na to, ali upoštevate korporativne politike ali preprosto preprečujete uporabnikom dostop do strežnikov v visokorizičnih regijah, je blokiranje prometa po državah močno orodje.

Čeprav MikroTik RouterOS nima gumba “Blokiraj državo X”, to lahko učinkovito storite z uporabo Seznamov naslovov in standardnih Filtrskih pravil požarnega zidu. Ta vodič vas bo vodil skozi ročni postopek zbiranja IP nizov in njihove uporabe na usmerjevalniku.

Korak 1: Pridobitev IP blokov

Za blokiranje države potrebujete seznam vseh IP naslovov, dodeljenih temu območju. Eden najbolj zanesljivih in brezplačnih virov za te podatke je IPDeny. Zagotavljajo posodobljene združene datoteke con.

  1. Obiščite IPDeny.com (ali njihov razdelek “IP Country Blocks”).
  2. Poiščite državo, ki jo želite blokirati.
  3. Prenesite conično datoteko (ponavadi .txt) za izbrano državo.

Opomba: IP dodelitve se skozi čas spreminjajo. Pomembno je, da te sezname redno posodabljate, da ne blokirate novih legitimnih IP-jev ali ne spregledate prerazporejenih.

access https://www.ipdeny.com/ipblocks/ to full list

Korak 2: Oblikovanje podatkov za RouterOS

Datoteka, ki ste jo prenesli, vsebuje seznam IP podomrežij (npr. 1.2.3.0/24), vendar vaš MikroTik usmerjevalnik pričakuje specifičen ukazni format, da jih lahko uvozi. Za avtomatizacijo oblikovanja besedila lahko uporabite preglednico, kot je Excel.

  1. Odprite svojo programsko opremo za preglednice.
  2. V stolpec B prilepite seznam IP naslovov, ki ste ga prenesli z IPDeny.
  3. V stolpec A vpišite predpono ukaza. Vnesite naslednje besedilo:
    ip firewall address-list add list=BlockedCountry address=
  4. V tretjem stolpcu uporabite formulo za združitev besedila, na primer:
    =A1 & B1
  5. Povlecite formulo navzdol čez vse vrstice.

Sedaj imate popoln seznam CLI ukazov, pripravljenih za vaš usmerjevalnik.

Spreadsheet formatting IP addresses into MikroTik CLI commands.

Korak 3: Uvoz seznama naslovov

Ko so ukazi pripravljeni, jih je čas naložiti na usmerjevalnik. To ustvari imenovani nabor IP-jev (Seznam naslovov), na katere se lahko sklicujete v pravilih.

  1. Kopirajte ukaze, ustvarjene v preglednici.
  2. Odprite Winbox in se povežite z vašim MikroTik usmerjevalnikom.
  3. Odprite novo Terminal okno.
  4. Prilepite ukaze neposredno v terminal.

Če je seznam obsežen, lahko prilepitev traja nekaj sekund. Po končanju preverite uvoz v IP > Firewall > Address Lists. Tam bi morali videti tisoče vnosov pod imenom seznama, ki ste ga izbrali (npr. BlockedCountry).

Korak 4: Ustvarjanje pravila za zavrnitev

Ko usmerjevalnik ve, kateri IP-ji spadajo v ciljno državo, mu morate povedati, kaj naj stori s prometom tja. Ustvarili bomo pravilo požarnega zidu za zavrnitev tega prometa.

  1. Pojdite na IP > Firewall > Filter Rules.
  2. Kliknite gumb Dodaj (+) za novo pravilo.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Nastavitve na zavihku Splošno:
    • Veriga: forward (velja za promet, ki gre skozi usmerjevalnik, iz vaše LAN proti internetu).
    • Vhodni vmesnik: Izberite vaš LAN most ali vmesnik.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Nastavitve na zavihku Napredno:
    • Seznam ciljnih naslovov: Izberite seznam, ki ste ga ustvarili (npr. BlockedCountry).
  2. Nastavitve na zavihku Dejanje:
    • Dejanje: drop.
Configuration of a firewall drop rule in MikroTik Winbox.

Kliknite V redu za shranjevanje. To pravilo premaknite visoko na seznam pravil požarnega zidu, da zagotovite, da se obdeluje pred morebitnimi pravili »sprejmi vse«.

Namig: Če želite blokirati tudi promet, ki prihaja iz te države, lahko ustvarite drugo pravilo z verigo nastavljeno na input (za promet do usmerjevalnika) ali forward (za promet v vašo LAN) in nastavite Seznam izvornih naslovov na vaš državni seznam.

Poenostavitev upravljanja s NatCloud

Ročno upravljanje teh seznamov na enem usmerjevalniku je izvedljivo, vendar pa je vzdrževanje posodobitev na desetih ali sto napravah zahtevno.

NatCloud podjetja MKController vam omogoča oddaljeno upravljanje MikroTik naprav, tudi za CGNAT-om. Čeprav ta vodič pokriva ročno nastavitev, uporaba centralizirane platforme za upravljanje pomaga s takojšnjim prenosom skript in posodobitev konfiguracij na mnoge usmerjevalnike, da so vaše varnostne politike – kot so geobloki – vedno ažurne brez ročnega razvrščanja v preglednicah.

O MKController

Upamo, da vam je ta vsebina pomagala bolje upravljati vaš MikroTik in internetni svet! 🚀
Ne glede na to, ali nastavljate konfiguracije ali želite urediti omrežni kaos, vam MKController omogoča enostavnejše delo.

S centraliziranim upravljanjem v oblaku, avtomatiziranimi varnostnimi posodobitvami in nadzorno ploščo, ki jo obvlada vsak, imamo orodja za nadgradnjo vaše infrastrukture.

👉 Začnite brezplačno 3-dnevno preskusno obdobje na mkcontroller.com — in izkusite, kako enostavno je upravljanje omrežja.