Hoppa till innehåll
Blog

Så blockerar du trafik till specifika länder på MikroTik

Sammanfattning Denna guide visar hur du blockerar nätverkstrafik till specifika länder med MikroTik RouterOS. Du lär dig hämta IP-block från IPDeny, formatera dem till CLI-kommandon med ett kalkylblad och konfigurera en brandväggsregel för att begränsa åtkomst till oönskade geografiska områden.

Så blockerar du trafik till specifika länder på MikroTik

Att styra vart din nätverkstrafik går är en viktig del av modern nätverkssäkerhet. Oavsett om du följer företagsregler eller bara vill hindra användare från att nå servrar i riskfyllda regioner, är landbaserad blockering ett kraftfullt verktyg.

MikroTik RouterOS har ingen inbyggd “Blockera land X”-knapp, men du kan effektivt göra detta med Adresslistor och vanliga Brandväggsfilter. Den här guiden visar steg för steg hur du manuellt samlar IP-intervall och tillämpar dem i din router.

Steg 1: Hämta IP-blocken

För att blockera ett land behöver du först en lista över alla IP-adresser som tilldelats det landet. En av de mest pålitliga och kostnadsfria källorna är IPDeny. De tillhandahåller aggregerade zonfiler som uppdateras ofta.

  1. Gå till IPDeny.com (eller direkt till deras sektion “IP Country Blocks”).
  2. Hitta landet du vill blockera i listan.
  3. Ladda ner zonfilen (vanligtvis en .txt-fil) för det specifika landet.

Obs: IP-tilldelningar ändras över tid. Det är viktigt att uppdatera dessa listor regelbundet så att du inte blockerar nya legitima IP-adresser eller missar omplacerade.

access https://www.ipdeny.com/ipblocks/ to full list

Steg 2: Formatera datat för RouterOS

Filen du laddade ner innehåller en rå lista med IP-subnät (t.ex. 1.2.3.0/24), men din MikroTik-router förväntar sig ett specifikt kommandoformat för att importera dem. Du kan använda ett kalkylprogram som Excel för att automatisera formateringen.

  1. Öppna ditt kalkylprogram.
  2. Klistra in IP-adresslistan du hämtade från IPDeny i kolumn B.
  3. Skriv prefixet för kommandot i kolumn A. Ange texten: ip firewall address-list add list=BlockedCountry address=
  4. I en tredje kolumn använder du en formel för att kombinera dem, till exempel: =A1 & B1
  5. Dra ner formeln så att den täcker alla rader.

Nu har du en komplett lista med CLI-kommandon färdiga att köras i din router.

Spreadsheet formatting IP addresses into MikroTik CLI commands.

Steg 3: Importera adresslistan

När kommandona är klara är det dags att ladda in dem i routern. Detta skapar en namngiven grupp av IP-adresser (en Adresslista) som vi kan använda i brandväggsregler.

  1. Kopiera kommandona från ditt kalkylblad.
  2. Öppna Winbox och logga in på din MikroTik-router.
  3. Öppna ett Nytt Terminalfönster.
  4. Klistra in kommandona direkt i terminalen.

Om listan är stor kan det ta några sekunder att bearbeta. När klart kan du verifiera importen genom att gå till IP > Firewall > Address Lists. Du ska då se tusentals poster under listnamnet du valde (t.ex. BlockedCountry).

Steg 4: Skapa en drop-regel

Nu när routern känner till vilka IP som hör till landet, behöver du ange vad den ska göra med trafiken till dessa adresser. Vi skapar en brandväggsfilterregel som släpper bort denna trafik.

  1. Gå till IP > Firewall > Filter Rules.
  2. Klicka på Lägg till (+) för att skapa en ny regel.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Allmänna fliken:
    • Chain: forward (Gäller trafik som passerar igenom routern, från ditt LAN till internet).
    • In. Interface: Välj ditt LAN-bron eller interface.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Avancerade fliken:
    • Dst. Address List: Välj listan du skapade (t.ex. BlockedCountry).
  2. Åtgärd-fliken:
    • Action: drop.
Configuration of a firewall drop rule in MikroTik Winbox.

Klicka på OK för att spara. Placera regeln högt upp i brandväggslistan så att den bearbetas innan några “accept all”-regler.

Tips: Vill du även blockera trafik från landet kan du skapa en andra regel med Chain satt till input (för trafik till routern) eller forward (för trafik till ditt LAN) och sätta Src. Address List till din landlista.

Förenklad hantering med NatCloud

Att administrera dessa listor manuellt på en router är möjligt, men att hålla dem uppdaterade på tiotals eller hundratals enheter är en utmaning.

NatCloud från MKController gör att du kan hantera dina MikroTik-enheter på distans, även bakom CGNAT. Medan denna guide fokuserar på manuell konfiguration, underlättar en central hanteringsplattform att snabbt skicka skript och konfigurationsuppdateringar till flera routrar, vilket säkerställer att dina säkerhetspolicys — som dessa geoblockeringar — alltid är aktuella utan manuell kalldatarbete.

Om MKController

Vi hoppas att tipsen ovan hjälpt dig navigera bättre i din MikroTik- och internetvärld! 🚀
Oavsett om du finjusterar konfigurationer eller bara vill få ordning på nätverkets kaos, är MKController här för att förenkla din vardag.

Med centraliserad molnhantering, automatiska säkerhetsuppdateringar och en dashboard som vem som helst kan hantera, har vi det som krävs för att lyfta din verksamhet.

👉 Starta din kostnadsfria 3-dagars provperiod numkcontroller.com — och se hur enkel nätverkskontroll verkligen kan vara.