Qubes R3.2 で、fedora-23 テンプレートから作成された AppVM を NetVM を sys.firewall として実行しています。ファイアウォール ルールでは、ネットワーク アクセスを拒否していますが、次の例外があります。チェックは何も入っておらず、アドレス フィールドにも何も入力していません。私が尋ねているのは、これですべてが制限されるのではないですか? (すべての着信アドレスとインターネットへのアクセス) ファイアウォール ルールが空白の場合、またはアドレス フィールドに入力したアドレスに関係なく、http と https を含むインターネットへの完全なアクセスが引き続き可能です。http と https 以外のすべてのトラフィックをブロックしようとしていました。何か問題があるのでしょうか、それとも何か見落としているのでしょうか?
私は Qubes を初めて使用しており、提供されているドキュメントで答えを見つけることができないため、詳細な助言をいただければ幸いです。
どうもありがとうございました。
答え1
あなたの質問にコメントしたり、さらに情報を尋ねたりするほどの評判がまだないので、ここで答えます。
何について話しているのかよく分かりません。ファイアウォール タブ ルールの Appvm の 1 つである qubes-manager からのインターフェイスですか? ?
それとも、/rw/config/qubes-firewall-user-script で chmod a+x を使用して変更およびアクティブ化できるユーザー スクリプトですか?
Appvm またはファイアウォール コマンドの iptables 構成を確認しましたか? AppVM のターミナルで確認しましたか?
すべての appvm は、実際にはアプリだけでなく、すべてのシステムがエミュレートされた vm であることを忘れないでください。開いたアプリ以外のすべてをマスクするだけです。そのため、存在するすべての Appvm でターミナルにアクセスできます。
とにかく多分この記事がより役立ちます。したがって、AppVM の [設定/ファイアウォール] タブについて話しているのであれば、述べたように、AppVM にアタッチした proxyAppVM にルールが適用されます。つまり、たとえば、特定のポートを介して外部にリンクするためのルールです。したがって、何をしたいのか具体的な説明がないため、このタブで Appvm の IP を使用してルールを追加し、すべての入力を拒否するように設定を変更できます。次に、proxyvm の転送テーブルで、VM の IP アドレスを含む各ルールのポリシーの ACCEPT の代わりに REJECT ポリシーに変更を確認できます。ただし、ルールは外部への応答に関係するものであり、要求に関係するものではないことに注意してください。なぜなら、vm の応答を制御する方が簡単だからです (ほとんどのインターネット トランザクションでは、トランザクションの要求があり、次に応答があるため)。外部からさまざまな VM への開いたドアの可能性のあるエントリを制御するよりも簡単です。
本当に安全なシステムが必要な場合は、rw のスクリプトを使用して各 appvm のファイアウォールを設定し、適用するすべてのルールを含む sys-firewall のような proxyvm を自分で作成する必要があります。vm を作成するときに、qubes-manager にそのためのオプションがあります。