Ваши темы для Вебинаров

В Москве:

РФ (звонок бесплатный):

+7 (495) 103-99-88 +7 (800) 600-20-56

Адрес листы с IP адресами различных стран

10071

Адрес-листы с IP-адресами различных стран

Иногда возникают ситуации, когда нужно разрешить доступ к ресурсам у пользователей из определенной страны или же наоборот — запретить доступ к ресурсам из каких-нибудь “специфичных” стран. Например, случай доступа к актуальному на территории РФ сайту из, допустим, Африки или Южной Америки маловероятен. А в ситуациях большого мира атаки на инфраструктуру (напр. DDoS) происходят в большей части именно из-под юрисдикции других стран.

В mikrotik подобные настройки доступа и защиты выполняются, применяя адрес-листы. Адрес-листы являются списками доступа или запрета на подключения к определенным портам. Их содержание может включать в себя целые подсети, ip адреса, доменные имена или диапазоны адресов.

Для упрощения создания адрес–листов существуют сайты для генерации списков, например:

mikrotikconfig.com/firewall/#address

В качестве примера сгенерируем список адресов исключительно с адресами РФ (рис. 22.1).

Рис. 22.1 Генерация списка адресов.

На выходе получаем готовый список для загрузки в виде команд для mikrotik: “IP-Firewall-Address-List.rsc”. Загружаем его на роутер, используя раздел Files (Files -> Upload), и импортируем файл с помощью команды (Рис 22.2):

Рис. 22.2 Импорт подготовленного списка адресов.

После окончания загрузки можно увидеть, что было добавлено 8443 адресов (Рис. 22.3).


Import file=IP-Firewall-Address-List.rsc

Список российских адресов

Рис. 22.3 Добавленные адреса после импорта.

При загрузке подобных списков нужно всегда здраво оценивать, какое количество памяти у нас останется. В качестве примера был взят не самый объемный роутер и памяти практически не осталось, поэтому нужно обращать внимание на производительность устройств, объем оперативной памяти и памяти на флешке, при выполнении подобных действий.

Например, мы хотим заблокировать доступ из других стран к нашим ресурсам. После загрузки адрес-листа можно использовать его в правилах NAT для проброса портов (Рис. 22.4). При добавлении правил через командную строку используется параметр src-address-list с указанием названия адрес-листа.

Рис. 22.4 Указываем созданный адрес-лист в правилах NAT.

К сожалению, данный способ не является панацеей для настройки доступа по географическому принципу. Возможны ситуации, когда у клиентов не будет что-то открываться или кто-то попадет случайно в блок. Подобное происходит из-за того, что оценка принадлежности ip-адресов к странам весьма условна, а распределение внутри регионов у этих стран еще “условнее”. Бывает, что некоторые подсети просто находятся в другой стране, а бывает, что кто-то использует находящийся в другой стране VPN. Так же не все операторы правильно заполняют параметры, которые необходимы для определения региона, в котором находится данный ip-адрес. И не стоит забывать о том, что ip-адреса и диапазоны ip-адресов могут быть перепроданы другим странам, что естественно не запрещено.

Данные правила обычно используют для корпоративных ресурсов, где можно точно контролировать клиентов, где можно точно знать, что это именно ваш сотрудник, который находится в другой стране. Либо можно использовать для уменьшения количества спама, что присылается на ваш почтовый сервер, заблокировав, например, Китай или иной крупный регион.

Поэтому, прежде всего, при использовании адрес-листов необходимо тестировать и внимательно следить за тем, чтобы в блокировку не попали реальные клиенты.


  • MTCNA

    15 - 18 июля 10.00 - 18.00
  • MTCRE

    05 - 08 августа 10.00 - 18.00
  • MTCNA

    12 - 15 августа 10.00 - 18.00
  • MTCNA

    09 - 12 сентября 10.00 - 18.00
  • MTCWE

    16 - 19 сентября 10.00 - 18.00
  • MTCSE

    07 - 10 октября 10.00 - 18.00
  • MTCTCE

    11 - 14 ноября 10.00 - 18.00
  • MTCRE

    16 - 19 декабря 10.00 - 18.00

Курсы Mikrotik-Training.

Знания, которые дают результат.