Адрес-листы с IP-адресами различных стран
Иногда возникают ситуации, когда нужно разрешить доступ к ресурсам у пользователей из определенной страны или же наоборот — запретить доступ к ресурсам из каких-нибудь “специфичных” стран. Например, случай доступа к актуальному на территории РФ сайту из, допустим, Африки или Южной Америки маловероятен. А в ситуациях большого мира атаки на инфраструктуру (напр. DDoS) происходят в большей части именно из-под юрисдикции других стран.
В mikrotik подобные настройки доступа и защиты выполняются, применяя адрес-листы. Адрес-листы являются списками доступа или запрета на подключения к определенным портам. Их содержание может включать в себя целые подсети, ip адреса, доменные имена или диапазоны адресов.
Для упрощения создания адрес–листов существуют сайты для генерации списков, например:
mikrotikconfig.com/firewall/#address
В качестве примера с генерируем список адресов исключительно с адресами РФ (рис. 22.1).
На выходе получаем готовый список для загрузки в виде команд для mikrotik: “IP-Firewall-Address-List.rsc”. Загружаем его на роутер, используя раздел Files (Files -> Upload), и импортируем файл с помощью команды (Рис 22.2):
После окончания загрузки можно увидеть, что было добавлено 8443 адресов (Рис. 22.3).
При загрузке подобных списков нужно всегда здраво оценивать, какое количество памяти у нас останется. В качестве примера был взят не самый объемный роутер и памяти практически не осталось, поэтому нужно обращать внимание на производительность устройств, объем оперативной памяти и памяти на флешке, при выполнении подобных действий.
Например, мы хотим заблокировать доступ из других стран к нашим ресурсам. После загрузки адрес-листа можно использовать его в правилах NAT для проброса портов (Рис. 22.4). При добавлении правил через командную строку используется параметр src-address-list с указанием названия адрес-листа.
К сожалению, данный способ не является панацеей для настройки доступа по географическому принципу. Возможны ситуации, когда у клиентов не будет что-то открываться или кто-то попадет случайно в блок. Подобное происходит из-за того, что оценка принадлежности ip-адресов к странам весьма условна, а распределение внутри регионов у этих стран еще “условнее”. Бывает, что некоторые подсети просто находятся в другой стране, а бывает, что кто-то использует находящийся в другой стране VPN. Так же не все операторы правильно заполняют параметры, которые необходимы для определения региона, в котором находится данный ip-адрес. И не стоит забывать о том, что ip-адреса и диапазоны ip-адресов могут быть перепроданы другим странам, что естественно не запрещено.
Данные правила обычно используют для корпоративных ресурсов, где можно точно контролировать клиентов, где можно точно знать, что это именно ваш сотрудник, который находится в другой стране. Либо можно использовать для уменьшения количества спама, что присылается на ваш почтовый сервер, заблокировав, например, Китай или иной крупный регион.
Поэтому, прежде всего, при использовании адрес-листов необходимо тестировать и внимательно следить за тем, чтобы в блокировку не попали реальные клиенты.
Источник: https://mikrotik-training.ru/kb/adres-listy-s-ip-adresami-razlichnyh-stran/