Prečo to po blokovaní IP útočník stále skúša?

Pretože útočník pravdepodobne prešiel na inú IP v tom istom rozsahu. Vtedy treba prejsť z blokovania jednej IP na celý rozsah (CIDR).

Zablokujem tým aj IPv6 ?

Áno, proces je identický, len musíš do pravidla vložiť IPv6 adresu alebo jej rozsah.

Kedy mi stačí Windows Firewall a kedy nie?

Na ochranu domáceho počítača je to skvelý nástroj. Ak však prevádzkuješ verejný server alebo e-shop, mal by si uvažovať aj o WAF (Web Application Firewall) a rate limitingu.

Oplatí sa mi to vôbec riešiť?

Ak vidíš pokusy o skenovanie portov alebo agresívny scraping, rozhodne áno. Vedieť, ako zablokovať IP adresu vo Windows, je základná zručnosť každého uvedomelého používateľa internetu.

Ako zablokovať IP adresu vo Windows Firewall : návod krok za krokom

Obsah článku

Nenechaj v tom známych samých – zdieľaj

Začiatočník

Ak sa pohybuješ vo svete internetu, skôr či neskôr narazíš na situáciu, kedy ti niekto začne „klopať“ na dvere tvojho počítača bez pozvania. Či už ide o otravný scraping, automatizované skeny botov alebo pokusy o neautorizovaný prístup, tvojou prvou a najúčinnejšou líniou obrany je práve Windows firewall.

V tomto návode si ukážeme, ako zablokovať IP adresu vo Windows tak, aby si mal svoju sieť pod kontrolou a prestal byť ľahkým cieľom.

Čo je Windows Firewall a kde ho nájdeš

Predstav si Windows firewall ako prísneho vrátnika tvojho počítača. On rozhoduje o tom, čo môže prísť dnu (Inbound) a čo môže odísť von (Outbound). Na domácom počítači ťa bude najviac zaujímať práve Inbound komunikácia – teda to, čo sa k tebe snaží pretlačiť z vonkajšieho sveta.

Najrýchlejšia cesta k pokročilým nastaveniam:

Stlač klávesovú skratku Win + R.
Napíš príkaz wf.msc a potvrď.
Otvorí sa okno „Windows Defender Firewall with Advanced Security“, kde sa odohráva skutočná mágia.

Ak sa chceš len pozrieť na základný prehľad, nájdeš ho cez Windows Security → Firewall & network protection, ale pre skutočné Windows blokovanie IP budeme potrebovať práve tie pokročilé nastavenia.

IP, IP rozsah a ASN po lopate

Predtým, než sa do toho pustíme, je dôležité vedieť, čo vlastne blokuješ. Nie je totiž adresa ako adresa.

IP adresa: Predstavuje jeden konkrétny „dom“ na internete (napr. 1.2.3.4). Ak ťa otravuje jeden konkrétny útočník, blokuješ jeho adresu.
IP rozsah / CIDR: Predstavuje celú „ulicu“ adries (napr. 1.2.3.0/24). Útočníci často menia svoje IP adresy v rámci jedného rozsahu. V takom prípade je blokovanie jednej IP neúčinné – je to ako zakázať vstup jednému človeku, ktorý si len neustále prezlieka bundu. Aby si vedel správne určiť, akú časť siete blokuješ, pomôže ti táto subnet kalkulačka.
ASN (Autonomous System Number): Predstavuje „mesto“ alebo celého poskytovateľa internetu. Windows firewall nevie blokovať ASN priamo, ale môžeš to urobiť nepriamo cez zoznamy IP prefixov daného operátora.

Ak sa strácaš v tom, čo znamenajú tie čísla za lomkou, pozri si podrobnú tabuľku IPv4 subnet masiek, kde nájdeš prehľad všetkého podstatného.

Predtým, než spustíš windows blokovanie IP

Ešte než klikneš na tlačidlo „Blokovať“, uisti sa, že sleduješ správne veci. Ideálne je vedieť, čo ti reálne do siete lezie. Ak chceš vidieť sieťovú prevádzku „naživo“, skvelým nástrojom je Wireshark a jeho analýza siete, vďaka ktorej presne uvidíš, z akej adresy prichádzajú podozrivé pakety.

Vždy si skontroluj:

Profil siete: Si na verejnej (Public) alebo súkromnej (Private) sieti? Na verejnej wi-fi by si mal byť vždy prísnejší.
Inbound Rules: Väčšina používateľov robí chybu, že pravidlo vytvorí v Outbound sekcii. Ak chceš niekoho nepustiť dnu, musíš pracovať s Inbound Rules.
Remote IP: Vždy blokujeme vzdialenú (Remote) adresu, nie svoju vlastnú (Local).

Ako zablokovať IP adresu vo Windows Firewall (Jedna IP)

Toto je klasický postup, ak máš z logov potvrdenú jednu konkrétnu adresu, ktorá ťa bombarduje.

Postup krok za krokom:

Stlač klávesovú skratku Win + R.
Napíš wf.msc a stlač ENTER.
V ľavom stĺpci klikni na Inbound Rules.
V pravom paneli vyber New Rule…

Typ pravidla: Vyber Custom (toto ti dá najviac kontroly).
Program: Ponechaj All programs (pokiaľ nechceš blokovať prístup len k jednej konkrétnej aplikácii).

Protocols and Ports: Nechaj Any.

Scope: Toto je kľúčový krok. V časti „Remote IP addresses“ vyber These IP addresses a klikni na Add….

Zadaj IP adresu útočníka a potvrď OK.
Action: Vyber Block the connection.

Profile: Zaškrtni profily (typicky Public a Private ale ak máš domácu sieť tak sa nič nestane keď zaškrtneš aj všetky).

Názov: Pomenuj pravidlo prehľadne, napríklad BLOCK - Skener - 2025-12-30.

Zaujíma ťa, ako zablokovať IP adresu vo Windows tak, aby sa útočník už nevrátil? Práve si to úspešne nastavil.

Ako zablokovať IP rozsah (CIDR alebo range)

Niekedy jedna adresa nestačí. Ak vidíš, že útoky prichádzajú z rôznych adries, ktoré vyzerajú podobne, pravdepodobne ide o rozsah jedného hostingu alebo VPN. To je presne ten moment, kedy je Windows blokovanie IP cez rozsah CIDR oveľa efektívnejšie.

V kroku Scope pri pridávaní adresy môžeš zadať aj zápis CIDR, napríklad 1.2.3.0/24. Ak nevieš, aký rozsah tvoja IP adresa pokrýva, skús to hodiť do subnet kalkulačky. Prípadne môžeš zadať rozsah ako interval „From – To“, čo je pre začiatočníkov niekedy čitateľnejšie.

Blokovanie krajín a ASN

Hoci Windows Firewall natívne nepozná krajiny, môžeš to vyriešiť nepriamo. Stačí si stiahnuť zoznam IP rozsahov (CIDR) pre konkrétnu krajinu a vložiť ich do sekcie Scope. Je to síce mravčia práca, ale ak vidíš, že 99 % útokov prichádza z krajiny, s ktorou nemáš nič spoločné, stojí to za to. To isté platí pre ASN – ak vieš, že konkrétny provider je zdrojom scan farmy, zablokuj všetky jeho prefixy.

Čo blokuješ	Kedy to dáva zmysel	Plusy	Mínusy
Jedna IP	Konkrétny agresor	Rýchle a čisté	Útočník sa ľahko prepne na inú IP
IP rozsah (CIDR)	Rotácia IP v rámci hostingu	Zastavíš celú „ulicu“ adries	Môžeš trafiť aj nevinných používateľov
ASN cez prefixy	Zlý provider / scan farmy	Menej „hry na schovávačku“	Riziko, že odstrihneš legitímne služby

Checklist (Predtým, než klikneš „Block“)

Pred finalizáciou si prebehni tento rýchly zoznam. To je to, ako zablokovať IP adresu vo Windows bezpečne:

Máš IP adresu z reálnych logov a vieš, prečo ju blokuješ?
Vytváraš pravidlo v Inbound Rules?
Nastavil si IP do poľa Remote IP (vzdialená), nie Local (miestna)?
Používaš správny sieťový profil?
Po uložení skontroluj, či ti fungujú služby, ktoré bežne používaš.

FAQ: Často kladené otázky pri blokovaní IP adries

Prečo to po blokovaní IP útočník stále skúša?
Pretože útočník pravdepodobne prešiel na inú IP v tom istom rozsahu. Vtedy treba prejsť z blokovania jednej IP na celý rozsah (CIDR).
Zablokujem tým aj IPv6 ?
Áno, proces je identický, len musíš do pravidla vložiť IPv6 adresu alebo jej rozsah.
Kedy mi stačí Windows Firewall a kedy nie?
Na ochranu domáceho počítača je to skvelý nástroj. Ak však prevádzkuješ verejný server alebo e-shop, mal by si uvažovať aj o WAF (Web Application Firewall) a rate limitingu.
Oplatí sa mi to vôbec riešiť?
Ak vidíš pokusy o skenovanie portov alebo agresívny scraping, rozhodne áno. Vedieť, ako zablokovať IP adresu vo Windows, je základná zručnosť každého uvedomelého používateľa internetu.

Záver

Nastaviť správne pravidlá pre windows firewall znamená koniec hry „uhni botovi“. Keď narazí na stenu, ktorú si mu postavil, pôjde hľadať ľahšiu obeť. Ak chceš mať o svojej sieti dokonalý prehľad, nezabudni sa občas pozrieť na Wireshark a analýzu paketov, aby si vedel, kto ďalší si zaslúži tvoje blokovanie.

Zdroje :

Microsoft , How to Geek