当前位置：首页 > article >正文

软路由如何屏蔽国外IP？RouterOS保姆级实战教程（附自动化脚本）

article 2025/3/16 17:34:23

一、为什么需要屏蔽国外IP？

作为企业网络管理员，我曾在深夜3点被DDoS攻击警报惊醒，攻击源显示来自巴西、俄罗斯等地的IP段。这种经历让我深刻意识到：合理的地理位置IP过滤是网络安全的第一道防线。对于普通用户，屏蔽国外IP可以：

降低99%的暴力破解风险（黑客常用境外服务器发起扫描）
节省30%以上国际带宽（避免P2P流量跨境传输）
满足等保2.0合规要求（部分行业需限制数据跨境流动）

二、认识我们的武器：RouterOS

2.1 什么是软路由？

就像用旧电脑安装Windows系统一样，软路由是通过x86设备+路由系统实现的**软件定义网络（SDN）**方案。相比千元级企业路由器，300元的工控机+RouterOS（本文以RouterOS为例，你也可以使用爱快，或OpenWRT）就能实现企业级功能。

2.2 RouterOS优势解读

全协议支持：IPv4/IPv6双栈、BGP、OSPF全支持
企业级QoS：精确到IP的流量控制
硬件加速：NAT转发可达10Gbps（需Intel NIC）

三、实战四步走屏蔽方案

3.1 创建中国IP白名单

# 创建地址列表
/ip firewall address-list
add address=223.255.255.0/24 list=CN_IP comment="Alibaba Cloud"
add address=119.28.0.0/16 list=CN_IP comment="Tencent Cloud"

小白提示：IP地址后的/24就像手机号前三位，代表该运营商的所有IP段。获取最新中国IP段推荐：

官方渠道：APNIC官网（需处理CIDR格式）
懒人包：IPdeny.com

3.2 配置智能防火墙

/ip firewall filter
# 放行国内IP
add chain=input src-address-list=CN_IP action=accept
# 拦截其他流量
add chain=input action=drop comment="Block_Foreign"

高阶技巧：建议启用连接跟踪（connection tracking）提升性能：

/ip firewall filter
add chain=input connection-state=established,related action=accept

3.3 防止IP欺骗攻击

/ip firewall filter
add chain=input in-interface=WAN src-address-list=CN_IP action=accept
add chain=input in-interface=LAN src-address-list=!CN_IP action=drop

网络拓扑示意图：

[境外攻击者] --> [WAN口] --(drop规则)--> 拦截
[国内用户]   --> [WAN口] --(accept规则)--> 放行

3.4 自动化维护脚本

# 创建自动更新脚本
/system script
add name=update_NC_IP source="/tool fetch url=http://www.ipdeny.com/ipblocks/data/countries/cn.zone\
    dst-path=cn_ips.txt;\
    /import file=cn_ips.txt;\
    /ip firewall address-list remove [find list=CN_IP];\
    /ip firewall address-list add list=CN_IP address=::CN_IPs"
# 设置每周自动执行
/system scheduler
add name=weekly_udpate interval=7d on-event=update_CN_IP

四、效果验证与调优

4.1 测试方法

traceroute测试：traceroute 1.1.1 应显示host unreachable
在线工具验证：使用IPIP.NET模拟境外IP访问

五、避坑指南

误屏蔽问题：建议先设置log记录被拦截的IP
```
add chain=input action=log log-prefix="BLOCKED" 
```
性能下降：遇到卡顿时检查CPU利用率，建议i3以上处理器
VPN穿透：需要单独放行VPN协议端口（如OpenVPN的1194）