На Qubes R3.2 я запускаю AppVM, созданную на основе шаблона fedora-23 с NetVM в качестве sys.firewall. В правилах брандмауэра у меня стоит Deny Network Access except... и ничего не отмечено и ничего не стоит в поле адреса. Я спрашиваю, не должно ли это ограничивать все? (все входящие адреса и доступ к Интернету?) Когда правила брандмауэра пустые или какие бы адреса я ни вводил в поле адреса, у меня все равно есть полный доступ к Интернету, включая http и https. Я пытался заблокировать весь трафик, кроме http и https. Здесь что-то не так, или я что-то упускаю?
Я был бы очень признателен за любую подробную помощь, так как я новичок в Qubes и не могу найти ответ в предоставленной ими документации.
Большое спасибо, С наилучшими пожеланиями
решение1
Я отвечу здесь, так как у меня пока нет репутации комментировать ваш вопрос и запрашивать больше информации.
Не совсем понятно, о чем вы говорите. Это интерфейс из qubes-manager одного из правил Appvm в закладке брандмауэра? ?
Или это пользовательский скрипт, который можно изменить и активировать с помощью chmod a+x в /rw/config/qubes-firewall-user-script?
Вы проверили конфигурацию iptables вашего Appvm? или firewall-cmd? В терминале я имею в виду ваш AppVM?
Не забывайте, что каждый appvm на самом деле все еще является vm со всей эмулированной системой, а не только приложением. Он просто маскирует все остальное, кроме приложения, которое вы открыли. Так что у вас все еще есть доступ к терминалу в каждом Appvm.
В любом случае, может бытьЭта статьяпоможет вам лучше. Так что, как указано, если вы говорите о вкладке Настройки/Брандмауэр вашей AppVM, она применит правило к proxyAppVM, которую вы прикрепили к своей AppVM. Это означает, что это правило связывает вас с внешним миром через определенный порт, например. Так что, поскольку у меня нет очень конкретного объяснения того, что вы хотите сделать, вы можете добавить правило на этой вкладке с IP вашего Appvm и изменить настройки, чтобы запретить всем входить. И затем вы можете увидеть изменение в таблице пересылки вашего proxyvm с политикой REJECT вместо ACCEPT для каждого правила с IP-адресом вашей VM. Но имейте в виду, что правила касаются ответа внешнему миру, а не запросов. Поскольку проще контролировать то, что отвечает vm (потому что в большинстве интернет-транзакций есть запрос транзакции, а затем ответ), то возможный вход открытой двери из внешнего мира в различные vms.
Если вам нужна действительно безопасная система, то вам следует настроить свой брандмауэр для каждой appvm со скриптом в rw, а также создать себе proxyvm, например sys-firewall, со всеми правилами, которые вы хотите применить. Для этого есть опция в qubes-manager, когда вы хотите создать vm.