สรุป คู่มือนี้แสดงวิธีบล็อกทราฟฟิกเครือข่ายไปยังประเทศเฉพาะโดยใช้ MikroTik RouterOS คุณจะได้เรียนรู้วิธีดึงบล็อก IP จาก IPDeny, แปลงเป็นคำสั่ง CLI ด้วยสเปรดชีต และตั้งค่ากฎ drop ในไฟร์วอลล์เพื่อป้องกันภูมิภาคที่ไม่ต้องการ

วิธีบล็อกทราฟฟิกไปยังประเทศเฉพาะบน MikroTik

การจัดการปลายทางทราฟฟิกเครือข่ายเป็นส่วนสำคัญของความปลอดภัยเครือข่ายยุคใหม่ ไม่ว่าคุณจะปฏิบัติตามนโยบายองค์กรหรือแค่ต้องการป้องกันผู้ใช้ไม่ให้เข้าถึงเซิร์ฟเวอร์ในพื้นที่เสี่ยง การบล็อกทราฟฟิกตามประเทศเป็นเครื่องมือควบคุมทรงพลัง

แม้ MikroTik RouterOS จะไม่มีปุ่ม “บล็อกประเทศ X” ในตัว แต่คุณสามารถทำได้ง่ายๆ ด้วยการใช้ Address Lists และ Firewall Filters ปกติ บทแนะนำนี้จะช่วยคุณทำขั้นตอนรวบรวมช่วง IP และนำไปใช้บนเราเตอร์อย่างละเอียด

ขั้นตอนที่ 1: ดึงรายการบล็อก IP

เพื่อบล็อกประเทศ คุณต้องมีรายการ IP ทั้งหมดที่จัดสรรให้กับภูมิภาคนั้น แหล่งข้อมูลที่น่าเชื่อถือและฟรีหนึ่งในนั้นคือ IPDeny ที่มีไฟล์โซนรวมข้อมูลอัปเดตบ่อยครั้ง

1. ไปที่ IPDeny.com (หรือส่วน “IP Country Blocks” ของพวกเขา)
2. หาประเทศที่ต้องการบล็อกในรายชื่อ
3. ดาวน์โหลดไฟล์โซน (.txt) สำหรับประเทศนั้น

หมายเหตุ: การจัดสรร IP เปลี่ยนแปลงได้ตามเวลา ควรอัปเดตรายการเหล่านี้อย่างสม่ำเสมอเพื่อไม่บล็อก IP ถูกต้องใหม่หรือพลาด IP ที่ย้ายไปแล้ว

ขั้นตอนที่ 2: แปลงข้อมูลเพื่อใช้ใน RouterOS

ไฟล์ที่ดาวน์โหลดจะเป็นรายการ subnet IP ดิบ (เช่น 1.2.3.0/24) แต่ MikroTik ต้องการคำสั่งในรูปแบบเฉพาะเพื่ออิมพอร์ต เราสามารถใช้โปรแกรมสเปรดชีต เช่น Excel เพื่อช่วยแปลงข้อความนี้ได้

1. เปิดโปรแกรมสเปรดชีตของคุณ
2. ใน คอลัมน์ B วางรายการ IP ที่ได้จาก IPDeny
3. ใน คอลัมน์ A ให้พิมพ์ข้อความเริ่มต้นคำสั่งดังนี้: ip firewall address-list add list=BlockedCountry address=
4. ในคอลัมน์ที่สาม ใช้สูตรรวมข้อความ เช่น: =A1 & B1
5. ลากสูตรนี้ลงมาครอบคลุมทุกรายการ

ตอนนี้คุณมีรายการคำสั่ง CLI เต็มสำหรับนำเข้าในเราเตอร์แล้ว

ขั้นตอนที่ 3: นำเข้ารายการ Address List

หลังจากเตรียมคำสั่งแล้ว เราจะโหลดลงเราเตอร์ เพื่อสร้างกลุ่ม IP (Address List) ที่จะใช้ในกฎต่างๆ

1. คัดลอกคำสั่งจากสเปรดชีตของคุณ
2. เปิด Winbox และเชื่อมต่อกับ MikroTik router
3. เปิด New Terminal
4. วางคำสั่งลงไปในเทอร์มินัลโดยตรง

ถ้ารายการยาว อาจใช้เวลาประมวลผล เมื่อเสร็จแล้วตรวจสอบโดยไปที่ IP > Firewall > Address Lists คุณจะเห็นรายการเป็นพันรายการในชื่อที่ตั้งไว้ (เช่น BlockedCountry)

ขั้นตอนที่ 4: สร้างกฎ Drop

เมื่อเราเตอร์รู้จัก IP ที่เป็นของประเทศเป้าหมายแล้ว คุณต้องบอกให้มันจัดการกับทราฟฟิกที่ไปยัง IP เหล่านั้นด้วยการตั้งกฎไฟร์วอลล์แบบ drop

1. ไปที่ IP > Firewall > Filter Rules
2. กดปุ่ม Add (+) เพื่อสร้างกฎใหม่

3. ตั้งค่าแท็บ General:
   • Chain: forward (ใช้กับทราฟฟิกที่ผ่านเราเตอร์ จาก LAN ไป Internet)
   • In. Interface: เลือกบริดจ์หรืออินเทอร์เฟซ LAN

4. ในแท็บ Advanced:
   • Dst. Address List: เลือกรายการที่สร้างไว้ (เช่น BlockedCountry)
5. ในแท็บ Action:
   • Action: drop

กด OK เพื่อบันทึก เลื่อนกฎนี้ขึ้นมาในรายการไฟร์วอลล์ให้สูง เพื่อให้ทำงานก่อนกฎ “accept all”

เคล็ดลับ: หากต้องการบล็อกทราฟฟิกที่มาจากประเทศนั้นด้วย สร้างกฎอีกตัวโดยตั้ง Chain เป็น input (ทราฟฟิกไปยังเราเตอร์) หรือ forward (ทราฟฟิกไป LAN) แล้วเลือก Src. Address List เป็นรายการประเทศนั้น

การจัดการง่ายขึ้นด้วย NatCloud

การจัดการรายการเหล่านี้เองในเราเตอร์ตัวเดียวทำได้ แต่ถ้ามีหลายสิบหรือหลายร้อยอุปกรณ์ จะเป็นเรื่องยาก

NatCloud จาก MKController ช่วยจัดการอุปกรณ์ MikroTik ระยะไกล แม้อยู่หลัง CGNAT แม้บทแนะนำนี้เน้นการตั้งค่าด้วยตนเอง แพลตฟอร์มจัดการศูนย์กลางนี้ช่วยดันสคริปต์และอัปเดตการตั้งค่าไปยังเราเตอร์หลายตัวได้ทันที ทำให้นโยบายความปลอดภัยอย่าง geoblock เป็นปัจจุบันเสมอโดยไม่ต้องทำงานสเปรดชีตเอง

---

เกี่ยวกับ MKController

หวังว่าคำแนะนำข้างต้นช่วยให้คุณใช้ MikroTik และอินเทอร์เน็ตได้ง่ายขึ้น! 🚀
ไม่ว่าคุณจะปรับแต่งคอนฟิกหรือจัดการความยุ่งเหยิงของเครือข่าย MKController จะช่วยให้ชีวิตคุณง่ายขึ้น

ด้วยการจัดการผ่านคลาวด์ศูนย์กลาง, อัปเดตความปลอดภัยอัตโนมัติ และแดชบอร์ดใช้งานง่าย เรามีทุกอย่างที่จะยกระดับการดำเนินงานของคุณ

👉 เริ่มทดลองใช้ฟรี 3 วันได้เลย ที่ mkcontroller.com — แล้วคุณจะเห็นว่าควบคุมเครือข่ายได้ง่ายแค่ไหนจริงๆ