Auf Qubes R3.2 führe ich eine AppVM aus, die auf Grundlage der Vorlage Fedora-23 erstellt wurde, mit der NetVM als sys.firewall. In den Firewall-Regeln habe ich „Netzwerkzugriff verweigern außer …“ und habe nichts aktiviert und nichts im Adressfeld. Ich frage, ob das nicht alles einschränken sollte? (Alle eingehenden Adressen und den Internetzugang?) Wenn die Firewall-Regeln leer sind oder egal, welche Adressen ich in das Adressfeld eingebe, habe ich immer noch vollständigen Internetzugang, einschließlich http und https. Ich habe versucht, den gesamten Datenverkehr außer http und https zu blockieren. Stimmt hier etwas nicht, oder übersehe ich etwas?
Ich wäre für jede ausführliche Hilfe sehr dankbar, da ich mit Qubes noch nicht vertraut bin und die Antwort in den bereitgestellten Dokumenten nicht finden kann.
Vielen Dank, Mit freundlichen Grüßen
Antwort1
Ich werde hier antworten, da ich noch nicht den Ruf habe, Ihre Frage zu kommentieren und weitere Informationen anzufordern
Es ist nicht klar, wovon Sie sprechen. Ist es die Schnittstelle vom Qubes-Manager einer der Appvm-Regeln auf der Registerkarte „Firewall“??
Oder ist es das Benutzerskript, das Sie mit chmod a+x in /rw/config/qubes-firewall-user-script ändern und aktivieren können?
Haben Sie die iptables-Konfiguration Ihrer Appvm überprüft? Oder die Firewall-Eingabeaufforderung? In einem Terminal, also in Ihrem AppVM?
Vergessen Sie nicht, dass jede AppVM tatsächlich immer noch eine VM ist, bei der das gesamte System emuliert wird, nicht nur die App. Sie maskiert lediglich alles andere außer der App, die Sie geöffnet haben. Sie haben also in jeder vorhandenen AppVM weiterhin Zugriff auf ein Terminal.
Wie auch immer, vielleichtDieser Artikelwird Ihnen besser helfen. Wie gesagt, wenn Sie über die Registerkarte „Einstellungen/Firewall“ Ihrer AppVM sprechen, wird eine Regel auf die Proxy-AppVM angewendet, die Sie an Ihre AppVM angehängt haben. Das bedeutet, dass es sich um eine Regel handelt, die Sie beispielsweise über einen bestimmten Port mit der Außenwelt verbindet. Da ich also keine sehr genaue Erklärung dafür habe, was Sie tun möchten, können Sie in dieser Registerkarte eine Regel mit der IP Ihrer AppVM hinzufügen und die Einstellungen ändern, um den Zutritt zu verweigern. Und dann können Sie die Änderung in der Weiterleitungstabelle Ihrer Proxy-VM sehen, in der anstelle von ACCEPT für die Richtlinie jeder Regel mit der IP-Adresse Ihrer VM eine REJECT-Richtlinie steht. Bedenken Sie jedoch, dass sich die Regeln auf die Antworten an die Außenwelt beziehen, nicht auf die Anfragen. Denn es ist einfacher zu kontrollieren, was die VM antwortet (denn bei den meisten Internettransaktionen gibt es eine Transaktionsanfrage und dann eine Antwort), als den möglichen Zutritt der offenen Tür von der Außenwelt zu den verschiedenen VMs.
Wenn Sie ein wirklich sicheres System möchten, sollten Sie Ihre Firewall für jede App-VM mit dem Skript in rw konfigurieren und sich außerdem eine Proxy-VM wie Sys-Firewall mit allen Regeln erstellen, die Sie anwenden möchten. Dafür gibt es im Qubes-Manager eine Option, wenn Sie eine VM erstellen möchten.