На Qubes R3.2 я использую шаблон AppVM, созданный на основе шаблона fedora-23, с NetVM в качестве sys.firewall. В правилах брандмауэра у меня есть Запретить сетевой доступ, кроме ... и я ничего не проверял и ничего в поле адреса. То, что я спрашиваю, не должно ли это ограничить все? (все входящие адреса и доступ в интернет?) Когда правила брандмауэра пусты или неважно, какие адреса я ввожу в поле «Адрес», у меня все еще есть полный доступ к Интернету, включая http и https. Я пытался заблокировать весь трафик, кроме http и https. Здесь что-то не так или я что-то упустил?

Я был бы очень признателен за любую подробную помощь, поскольку я новичок в Qubes и не могу найти ответ в документации, которую они предоставляют.

Большое спасибо, С наилучшими пожеланиями

|источник

1 ответ1

0

Я отвечу здесь, так как у меня пока нет репутации, чтобы комментировать ваш вопрос и спрашивать больше информации

Не понятно, о чем ты говоришь. Это интерфейс от qubes-manager одного из Appvm в правилах вкладки брандмауэра? ?

Или это пользовательский скрипт, который вы можете изменить и активировать с помощью chmod a+x в /rw /config /qubes-firewall-user-script?

Вы проверяли конфигурацию iptables вашего Appvm? или firewall-cmd? В терминале я имею ввиду ваш AppVM?

Не забывайте, что каждое приложение на самом деле все еще виртуальный компьютер со всей эмулированной системой, а не только с приложением. Он просто маскирует все остальное, кроме приложения, которое вы открыли. Таким образом, у вас все еще есть доступ к терминалу в каждом существующем Appvm.

В любом случае, возможно, эта статья поможет вам лучше. Таким образом, как указано, если вы говорите о вкладке «Настройки / Брандмауэр» вашей AppVM, она будет применять правило к proxyAppVM, подключенному к вашей AppVM. Это означает, что это правило связывать вас с внешним миром, например, через определенный порт. Поэтому, поскольку у меня нет очень конкретного объяснения того, что вы хотите сделать, вы можете добавить правило на этой вкладке с помощью ip вашего Appvm и изменить настройки, чтобы запретить ввод всех данных. И тогда вы можете увидеть изменение в таблице пересылки вашего proxyvm вместо ACCEPT для политики каждого правила с ip-адресом вашей виртуальной машины, политики REJECT. Но имейте в виду, что правила касаются ответа на внешний мир, а не запросов. Поскольку проще управлять тем, что отвечает виртуальная машина (потому что в большинстве интернет-транзакций есть запрос транзакции, а затем ответ), а затем возможный вход открытой двери из внешнего мира в другой виртуальный виртуальный сервер.

Если вы хотите по-настоящему защищенную систему, вам следует настроить свой брандмауэр для каждого приложения с помощью скрипта в rw, а также создать себе прокси-сервер, подобный sys-firewall, со всеми правилами, которые вы хотите применить. Для этого есть опция в qubes-manager, когда вы хотите создать vm.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .