У моего брата есть ноутбук (использующий Windows 7), который он действительно хочет сохранить в безопасности. Первоначально он не собирался подключать его к Интернету, но я предположил, что, возможно, смогу настроить для него виртуальную машину Ubuntu, чтобы он все еще мог просматривать Интернет и защищать файлы на главном компьютере. Я планирую использовать Virtual Box или VMWare для виртуальной машины. В любом случае я могу ограничить интернет-соединения, чтобы трафик передавался только на Windows Update или на виртуальную машину?
2 ответа
1
Для VMWare вы можете отключить IPv4 и IPv6 в настройках адаптера, это отключит сеть на хосте, но все равно разрешит доступ к ней для виртуальной машины, если для нее установлено значение Bridged. Вы можете повторно проверить IPv4, чтобы временно включить Интернет, чтобы разрешить обновления, если у вас возникла проблема с обновлением.
Почему бы просто не использовать Ubuntu в качестве основной ОС? Если вам нужна Windows, вам следует подумать о том, чтобы запустить браузер в Sandboxie и / или использовать что-то вроде Rollback rx, потому что виртуальная машина будет громоздкой.
1
Есть несколько разных вещей, которые вы можете сделать. Чтобы различать окна и виртуальную машину, вы можете назначить каждой системе свой статический IP-адрес, а затем брандмауэр может назначить правила каждому из этих IP-адресов. Например, вы можете назначить Windows 192.168.1.50 и Ubuntu 192.168.5.50. В любом случае, я не представляю, что вы можете использовать один и тот же IP-адрес в обоих случаях, так как это вызовет проблемы.
Кроме того, вы можете объединить информацию об IP-адресе с идентификацией пакетов ОС. Первоначально это было сделано только с pf на платформах BSD, но похоже, что сегодня есть поддержка iptables .
Кроме того, для создания правил только для систем Windows Update можно использовать сценарий создания брандмауэра, который называется mason. Он генерирует правила брандмауэра на основе трафика. Хотя я подозреваю, что здесь задействовано много серверов, и в результате может быть лучше просто включить весь исходящий трафик, предназначенный для microsoft.com, если только у вас нет диска, чтобы найти их все.