在 Qubes R3.2 上,我运行了一个基于 fedora-23 模板的 AppVM,其中 NetVM 为 sys.firewall。在防火墙规则中,我拒绝网络访问,但...没有选中任何内容,地址字段中也没有任何内容。我想问的是,这不应该限制所有内容吗?(所有传入地址和互联网访问?)当防火墙规则为空或无论我在地址字段中输入什么地址,我仍然可以完全访问互联网,包括 http 和 https。我试图阻止除 http 和 https 之外的所有流量。这里有什么问题吗,还是我遗漏了什么?
我真的很感激这里的任何详细帮助,因为我是 Qubes 的新手,无法在他们提供的文档中找到答案。
非常感谢,亲切的问候
答案1
我将在这里回答,因为我还没有声誉来评论你的问题并询问更多信息
不清楚你在说什么。它是防火墙选项卡规则中某个 Appvm 的 qubes-manager 接口吗??
或者它是您可以修改并使用 /rw/config/qubes-firewall-user-script 中的 chmod a+x 激活的用户脚本?
您是否已验证 Appvm 的 iptables 配置?或防火墙命令?我是说在 AppVM 的终端中?
不要忘记,每个 appvm 实际上仍然是一个虚拟机,它模拟了所有系统,而不仅仅是应用程序。它只是屏蔽了您打开的应用程序之外的所有其他内容。因此,您仍然可以访问每个 Appvm 中的终端。
无论如何也许本文会更好地帮助您。如前所述,如果您说的是 AppVM 的“设置/防火墙”选项卡,它将对附加到 AppVM 的 proxyAppVM 应用规则。这意味着这是一条通过特定端口将您链接到外部世界的规则。因此,由于我没有非常具体的解释您想要做什么,您可以在此选项卡中添加一条规则,其中包含 Appvm 的 ip,并更改设置以拒绝所有内容进入。然后,您可以看到代理虚拟机的转发表中发生了变化,每个规则的策略中,使用虚拟机的 ip 地址代替了 ACCEPT,即 REJECT 策略。但是,请记住,规则涉及对外部世界的回答,而不是请求。因为控制虚拟机回答的内容更简单(因为对于大多数互联网交易,都有一个交易请求,然后是一个答案),然后从外部世界进入不同虚拟机的敞开大门的可能入口。
如果您想要一个真正安全的系统,那么您应该使用 rw 中的脚本为每个 appvm 配置防火墙,并创建一个类似 sys-firewall 的代理虚拟机,其中包含您想要应用的所有规则。当您想要创建虚拟机时,qubes-manager 中有一个选项。