En Qubes R3.2 estoy ejecutando una AppVM creada a partir de la plantilla fedora-23 con NetVM como sys.firewall. En las reglas del firewall tengo Denegar acceso a la red excepto... y no tengo nada marcado ni nada en el campo de dirección. Lo que pregunto es ¿no debería esto restringirlo todo? (¿todas las direcciones entrantes y acceso a Internet?) Cuando las reglas del firewall están en blanco o sin importar qué direcciones ingrese en el campo Dirección, todavía tengo acceso completo a Internet, incluidos http y https. Estaba intentando bloquear todo el tráfico excepto http y https. ¿Hay algún problema aquí o me falta algo?
Realmente agradecería cualquier ayuda detallada aquí, ya que soy nuevo en Qubes y no puedo encontrar la respuesta en los documentos que proporcionan.
Muchas gracias, saludos cordiales.
Respuesta1
Responderé aquí ya que aún no tengo la reputación para comentar tu pregunta y pedir más información.
No está claro de qué estás hablando. ¿Es la interfaz de qubes-manager de una de las reglas de la pestaña Appvm en el firewall? ?
¿O es el script de usuario que puede modificar y activar con chmod a+x en /rw/config/qubes-firewall-user-script?
¿Verificaste la configuración de iptables de tu Appvm? o firewall-cmd? ¿En una terminal me refiero a tu AppVM?
No olvide que cada appvm sigue siendo, de hecho, una máquina virtual con todo el sistema emulado, no solo la aplicación. Simplemente enmascara todo lo demás además de la aplicación que has abierto. Entonces todavía tienes acceso a una terminal en cada Appvm que existe.
De todos modos tal vezEste artículote ayudará mejor. Entonces, como se indicó, si está hablando de la pestaña Configuración/Firewall de su AppVM, aplicará una regla al proxyAppVM que adjuntó a su AppVM. Significa que es una regla conectarte con el mundo exterior a través de un puerto específico, por ejemplo. Entonces, como no tengo una explicación muy específica de lo que quieres hacer, puedes agregar una regla en esta pestaña con la ip de tu Appvm y cambiar la configuración para negar todo el ingreso. Y luego podrá ver el cambio en la tabla de reenvío de su proxyvm con, en lugar de ACEPTAR para la política de cada regla con la dirección IP de su VM, una política RECHAZAR. Pero tenga en cuenta que las reglas se refieren a la respuesta al mundo exterior, no a las solicitudes. Porque es más sencillo controlar lo que responde la máquina virtual (porque en la mayoría de las transacciones por Internet, hay una solicitud de transacción y luego una respuesta) que la posible entrada de la puerta abierta desde el mundo exterior a las diferentes máquinas virtuales.
Si desea un sistema realmente seguro, debe configurar su firewall para cada appvm con el script en rw y también crear usted mismo un proxyvm como sys-firewall con todas las reglas que desea aplicar. Hay una opción para eso en qubes-manager cuando desea crear una máquina virtual.