No Qubes R3.2 estou executando um AppVM feito a partir do modelo fedora-23 com o NetVM como sys.firewall. Nas regras de firewall, tenho Negar acesso à rede, exceto... e não tenho nada marcado e nada no campo de endereço. O que estou perguntando é que isso não deveria restringir tudo? (todos os endereços de entrada e acesso à Internet?) Quando as regras do firewall estão em branco ou não importa quais endereços eu insira no campo Endereço, ainda tenho acesso completo à Internet, incluindo http e https. Eu estava tentando bloquear todo o tráfego, exceto http e https. Há algo errado aqui ou estou faltando alguma coisa?
Eu realmente apreciaria qualquer ajuda detalhada aqui, pois sou novo no Qubes e não consigo encontrar a resposta nos documentos que eles fornecem.
Muito obrigado, Atenciosamente
Responder1
Responderei aqui pois ainda não tenho reputação de comentar sua pergunta e pedir mais informações
Não está claro do que você está falando. É a interface do qubes-manager de um dos Appvm nas regras da guia do firewall? ?
Ou é o script do usuário que você pode modificar e ativar com chmod a+x em /rw/config/qubes-firewall-user-script?
Você verificou a configuração do iptables do seu Appvm? ou firewall-cmd? Em um terminal quero dizer do seu AppVM?
Não esqueça que todo appvm ainda é uma VM com todo o sistema emulado, não apenas o aplicativo. Ele apenas mascara todo o resto, exceto o aplicativo que você abriu. Então você ainda tem acesso a um terminal em cada Appvm que existe.
De qualquer forma, talvezEste artigoirá ajudá-lo melhor. Portanto, conforme declarado, se você estiver falando sobre a guia Configurações/Firewall do seu AppVM, uma regra será aplicada ao proxyAppVM que você anexou ao seu AppVM. Isso significa que é uma regra conectá-lo ao mundo exterior através de uma porta específica, por exemplo. Então, como não tenho uma explicação muito específica do que você quer fazer, você pode adicionar uma regra nesta aba com o ip do seu Appvm e alterar as configurações para negar a entrada de tudo. E então você pode ver a mudança na tabela de encaminhamento do seu proxyvm com no lugar de ACCEPT para a política de cada regra com o endereço IP da sua VM, uma política REJECT. Mas tenha em mente que as regras dizem respeito à resposta ao mundo exterior e não às solicitações. Porque é mais simples controlar o que a VM responde (porque na maior parte das transações da Internet há uma solicitação de transação do que uma resposta) do que a possível entrada da porta aberta do mundo exterior para as diferentes VMs.
Se você deseja um sistema realmente seguro, então você deve configurar seu firewall para cada appvm com o script em rw e também criar um proxyvm como sys-firewall com todas as regras que deseja aplicar. Existe uma opção para isso no qubes-manager quando você deseja criar uma VM.