在 Qubes R3.2 上,我正在執行一個由 fedora-23 範本製成的 AppVM,並使用 NetVM 作為 sys.firewall。在防火牆規則中,我拒絕網路訪問,除了...並且沒有檢查任何內容,地址欄位中也沒有任何內容。我想問的是,這不應該限制一切嗎? (所有傳入地址和對互聯網的訪問?)當防火牆規則為空或無論我在地址字段中輸入什麼地址時,我仍然可以完全訪問互聯網,包括 http 和 https。我試圖阻止除 http 和 https 之外的所有流量。這裡有什麼問題嗎,還是我錯過了什麼?
我真的很感激這裡的任何詳細幫助,因為我是 Qubes 的新手,無法在他們提供的文件中找到答案。
非常感謝,親切的問候
答案1
我會在這裡回答,因為我還沒有聲譽來評論你的問題並詢問更多信息
目前還不清楚你在說什麼。它是防火牆選項卡規則中 Appvm 之一的 qubes-manager 的介面嗎? ?
還是您可以在 /rw/config/qubes-firewall-user-script 中使用 chmod a+x 修改並啟動的使用者腳本?
您是否驗證了 Appvm 的 iptables 設定?或防火牆cmd?在終端機中我指的是你的 AppVM?
不要忘記,每個 appvm 實際上仍然是一個虛擬機,模擬了所有系統,而不僅僅是應用程式。它只是掩蓋了除您打開的應用程式之外的所有其他內容。因此,您仍然可以存取每個 Appvm 中的終端。
無論如何也許本文會更好地幫助你。因此,如前所述,如果您談論的是 AppVM 的「設定/防火牆」選項卡,它將向您附加到 AppVM 的 proxyAppVM 應用程式規則。例如,這意味著這是透過特定連接埠將您連結到外部世界的規則。因此,由於我沒有非常具體地解釋您想要執行的操作,因此您可以在此標籤中使用 Appvm 的 IP 新增規則,並更改設定以拒絕所有內容進入。然後,您可以看到 proxyvm 的轉發表中的更改,其中每個規則策略的 ACCEPT 與 VM 的 IP 位址被 REJECT 策略取代。但是,請記住,規則涉及對外界的答覆而不是請求。因為控制虛擬機器回答的內容更簡單(因為對於大多數網路交易,先有交易請求,然後才是答案),然後控制從外部世界到不同虛擬機器的開放門的可能進入。
如果您想要一個真正安全的系統,那麼您應該使用 rw 中的腳本為每個 appvm 配置防火牆,並為自己建立一個像 sys-firewall 這樣的 proxyvm,其中包含您想要套用的所有規則。當你想要建立虛擬機器時,qubes-manager 中有一個選項。