Qubes R3.2에서는 NetVM을 sys.firewall로 사용하여 fedora-23 템플릿으로 만든 AppVM을 실행하고 있습니다. 방화벽 규칙에는 다음을 제외하고 네트워크 액세스 거부가 설정되어 있으며 아무것도 확인되지 않았으며 주소 필드에도 아무것도 없습니다. 내가 묻는 것은 이것이 모든 것을 제한해서는 안 된다는 것입니다. (모든 수신 주소와 인터넷 액세스?) 방화벽 규칙이 비어 있거나 주소 필드에 어떤 주소를 입력하더라도 http 및 https를 포함하여 인터넷에 여전히 완전한 액세스가 가능합니다. http와 https를 제외한 모든 트래픽을 차단하려고 했습니다. 여기에 뭔가 문제가 있는 걸까요, 아니면 제가 뭔가를 놓치고 있는 걸까요?
저는 Qubes를 처음 접했고 그들이 제공하는 문서에서 답변을 찾을 수 없기 때문에 여기에 자세한 도움을 주시면 정말 감사하겠습니다.
정말 감사합니다. 감사합니다.
답변1
나는 아직 귀하의 질문에 대해 의견을 말하고 더 많은 정보를 물어볼 수 있는 평판이 없기 때문에 여기에 대답하겠습니다.
당신이 말하는 것이 무엇인지 명확하지 않습니다. 방화벽 탭 규칙에 있는 Appvm 중 하나의 qubes-manager 인터페이스입니까? ?
아니면 /rw/config/qubes-firewall-user-script에서 chmod a+x를 사용하여 수정하고 활성화할 수 있는 사용자 스크립트입니까?
Appvm의 iptables 구성을 확인하셨나요? 아니면 방화벽 cmd? 터미널에서는 AppVM을 의미합니까?
모든 appvm은 사실 앱뿐만 아니라 모든 시스템이 에뮬레이트된 VM이라는 점을 잊지 마세요. 당신이 연 앱 외에 다른 모든 것을 가릴 뿐입니다. 따라서 모든 Appvm의 터미널에 여전히 액세스할 수 있습니다.
어쨌든 어쩌면이 기사더 나은 도움이 될 것입니다. 따라서 AppVM의 설정/방화벽 탭에 대해 설명하는 경우 AppVM에 연결된 ProxyAppVM에 규칙이 적용됩니다. 예를 들어 특정 포트를 통해 외부 세계와 연결하는 규칙이라는 의미입니다. 따라서 수행하려는 작업에 대한 구체적인 설명이 없기 때문에 이 탭에 Appvm의 IP로 규칙을 추가하고 모든 입력을 거부하도록 설정을 변경할 수 있습니다. 그런 다음 VM의 IP 주소를 사용하여 각 규칙의 정책에 대한 ACCEPT 대신 REJECT 정책을 사용하여 Proxyvm의 전달 테이블에서 변경 사항을 볼 수 있습니다. 그러나 규칙은 요청이 아닌 외부 세계에 대한 응답에 관한 것임을 명심하십시오. VM이 응답하는 것을 제어하는 것이 더 간단하기 때문에(대부분의 인터넷 트랜잭션에서는 트랜잭션 요청과 응답이 있기 때문에) 외부 세계에서 다른 VM으로 열린 문이 들어갈 수 있습니다.
실제 보안 시스템을 원한다면 rw의 스크립트를 사용하여 각 appvm에 대한 방화벽을 구성하고 적용하려는 모든 규칙을 사용하여 sys-firewall과 같은 Proxyvm을 직접 만들어야 합니다. vm을 생성하려는 경우 qubes-manager에 해당 옵션이 있습니다.