Bỏ qua nội dung
Blog

Cách chặn lưu lượng đến quốc gia cụ thể trên MikroTik

Tóm tắt Hướng dẫn này trình bày cách chặn lưu lượng mạng đến các quốc gia cụ thể bằng MikroTik RouterOS. Bạn sẽ học cách lấy danh sách IP từ IPDeny, định dạng lệnh CLI bằng bảng tính, và cấu hình luật tường lửa để giới hạn truy cập vùng địa lý không mong muốn.

Cách chặn lưu lượng đến quốc gia cụ thể trên MikroTik

Quản lý lưu lượng mạng đi đến đâu là phần quan trọng trong bảo mật mạng hiện đại. Dù bạn tuân thủ chính sách công ty hay chỉ muốn ngăn người dùng truy cập máy chủ ở vùng có rủi ro cao, việc chặn lưu lượng theo quốc gia là công cụ kiểm soát hiệu quả.

MikroTik RouterOS không có nút “Chặn quốc gia X” tích hợp, nhưng bạn có thể làm điều này hiệu quả bằng Danh sách Địa chỉBộ lọc Tường lửa tiêu chuẩn. Hướng dẫn này sẽ dẫn bạn qua quy trình lấy dải IP và áp dụng trên bộ định tuyến.

Bước 1: Lấy danh sách IP

Để chặn một quốc gia, trước tiên bạn cần danh sách tất cả địa chỉ IP được cấp phát cho vùng đó. Một nguồn dữ liệu miễn phí và đáng tin cậy là IPDeny. Họ cung cấp các tệp vùng tổng hợp được cập nhật thường xuyên.

  1. Truy cập IPDeny.com (hoặc vào mục “IP Country Blocks” của họ).
  2. Tìm quốc gia bạn muốn chặn trong danh sách.
  3. Tải xuống tệp vùng (thường là tệp .txt) của quốc gia đó.

Lưu ý: Cấp phát IP thay đổi theo thời gian. Quan trọng là cập nhật danh sách này định kỳ để tránh chặn nhầm IP hợp lệ mới hoặc bỏ sót IP được phân bổ lại.

access https://www.ipdeny.com/ipblocks/ to full list

Bước 2: Định dạng dữ liệu cho RouterOS

Tệp bạn tải về chứa danh sách thô các subnet IP (ví dụ: 1.2.3.0/24), nhưng bộ định tuyến MikroTik cần lệnh cụ thể để nhập chúng. Bạn có thể sử dụng chương trình bảng tính như Excel để tự động định dạng văn bản.

  1. Mở phần mềm bảng tính của bạn.
  2. Dán danh sách IP tải từ IPDeny vào Cột B.
  3. Cột A, nhập tiền tố câu lệnh sau: ip firewall address-list add list=BlockedCountry address=
  4. Ở cột thứ ba, dùng công thức để ghép nối, ví dụ: =A1 & B1
  5. Kéo công thức xuống để áp dụng cho tất cả dòng.

Bây giờ bạn có một danh sách đầy đủ lệnh CLI sẵn sàng cho bộ định tuyến.

Spreadsheet formatting IP addresses into MikroTik CLI commands.

Bước 3: Nhập danh sách địa chỉ

Với các lệnh đã chuẩn bị, bạn sẽ tải chúng vào bộ định tuyến. Việc này tạo ra một nhóm địa chỉ IP (Danh sách Địa chỉ) mà ta có thể tham chiếu trong luật.

  1. Sao chép các lệnh trong bảng tính.
  2. Mở Winbox và truy cập bộ định tuyến MikroTik của bạn.
  3. Mở cửa sổ New Terminal.
  4. Dán trực tiếp các lệnh vào terminal.

Nếu danh sách quá lớn, việc dán có thể mất vài giây xử lý. Khi xong, bạn có thể kiểm tra bằng cách vào IP > Firewall > Address Lists. Bạn sẽ thấy hàng nghìn mục dưới tên danh sách bạn đã tạo (ví dụ BlockedCountry).

Bước 4: Tạo luật drop

Khi bộ định tuyến biết các IP thuộc quốc gia mục tiêu, bạn cần chỉ dẫn xử lý lưu lượng đến đó. Ta sẽ tạo luật bộ lọc tường lửa để drop lưu lượng này.

  1. Vào IP > Firewall > Filter Rules.
  2. Nhấn nút Add (+) để tạo luật mới.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Cài đặt tab General:
    • Chain: forward (Áp dụng cho lưu lượng đi qua bộ định tuyến, từ LAN ra Internet).
    • In. Interface: Chọn cầu LAN hoặc giao diện LAN của bạn.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Cài đặt tab Advanced:
    • Dst. Address List: Chọn danh sách bạn đã tạo (ví dụ BlockedCountry).
  2. Cài đặt tab Action:
    • Action: drop.
Configuration of a firewall drop rule in MikroTik Winbox.

Nhấn OK để lưu. Đưa luật này lên cao trong danh sách tường lửa để nó được xử lý trước các luật “chấp nhận tất cả”.

Mẹo: Nếu bạn muốn chặn lưu lượng đến từ quốc gia đó, hãy tạo luật thứ hai với Chain là input (cho lưu lượng tới bộ định tuyến) hoặc forward (cho lưu lượng đến LAN) và đặt Src. Address List thành danh sách quốc gia.

Quản lý đơn giản với NatCloud

Quản lý danh sách này thủ công trên một bộ định tuyến có thể được, nhưng việc cập nhật trên hàng chục hoặc hàng trăm thiết bị là thách thức.

NatCloud của MKController cho phép bạn quản lý thiết bị MikroTik từ xa, kể cả khi ở sau CGNAT. Mặc dù bài này tập trung thủ công, nhưng nền tảng quản lý tập trung giúp bạn đẩy tập lệnh và cập nhật cấu hình lên nhiều bộ định tuyến nhanh chóng, giữ chính sách bảo mật như geoblock luôn được cập nhật mà không cần làm bảng tính thủ công.

Về MKController

Hy vọng những kiến thức trên giúp bạn thao tác MikroTik và quản lý Internet dễ dàng hơn! 🚀
Dù bạn chỉnh cấu hình hay sắp xếp lại mạng lưới, MKController sẽ giúp cuộc sống bạn đơn giản hơn.

Với quản lý đám mây tập trung, cập nhật bảo mật tự động và bảng điều khiển dễ dùng, chúng tôi có giải pháp để nâng cấp hệ thống của bạn.

👉 Dùng thử miễn phí 3 ngày ngay tại mkcontroller.com — trải nghiệm điều khiển mạng không mệt mỏi.