Zapora sieciowa Qubes nic nie blokuje

Na Qubes R3.2 uruchamiam AppVM wykonany z szablonu fedora-23 z NetVM jako sys.firewall. W regułach zapory mam odmowę dostępu do sieci z wyjątkiem ... i nie mam nic zaznaczonego i nic w polu adresu. Pytam, czy nie powinno to ograniczać wszystkiego? (wszystkie adresy przychodzące i dostęp do Internetu?) Gdy reguły zapory są puste lub bez względu na adresy, które wprowadzam w polu Adres, nadal mam pełny dostęp do Internetu, w tym http i https. Próbowałem zablokować cały ruch z wyjątkiem http i https. Czy coś tu jest nie tak, czy coś mi brakuje?

Byłbym bardzo wdzięczny za szczegółową pomoc tutaj, ponieważ jestem nowy w Qubes i nie mogę znaleźć odpowiedzi w dostarczonych przez nich dokumentach.

Dziękuję bardzo, pozdrawiam

— Sirbasku4
źródło

zablokować przychodzące i wszystko i wszystkiemu zaprzeczyć i wszystko wszystko i pozwalają te, które chcą życzenie chcą być dopuszczalna przychodzących pozwalają wiem co mówię .... „W reguł zapory mam Odmów dostępu do sieci z wyjątkiem” można to pokazać?

— Pimp Juice IT,

Odpowiem tutaj, ponieważ nie mam jeszcze reputacji, aby komentować twoje pytanie i prosić o więcej informacji

Nie jest jasne, o czym mówisz. Czy jest to interfejs qubes-manager jednego z Appvm w regułach karty zapory? ?

Czy jest to skrypt użytkownika, który można modyfikować i aktywować za pomocą chmod a + x in / rw / config / qubes-firewall-user-script?

Czy zweryfikowałeś konfigurację iptables twojego Appvm? lub firewall-cmd? W terminalu mam na myśli twój AppVM?

Nie zapominaj, że każda aplikacja jest w rzeczywistości maszyną wirtualną z emulowanym całym systemem, a nie tylko aplikacją. Po prostu maskuje wszystko inne oprócz otwartej aplikacji. Więc nadal masz dostęp do terminala w każdej dostępnej aplikacji.

W każdym razie może ten artykułpomoże ci lepiej. Tak więc, jak stwierdzono, jeśli mówisz o karcie Ustawienia / Zapora aplikacji AppVM, zastosuje regułę do proxyAppVM dołączonej do AppVM. Oznacza to, że jest to reguła łącząca cię ze światem zewnętrznym przez, na przykład, określony port. Tak więc, ponieważ nie mam bardzo szczegółowego wyjaśnienia, co chcesz zrobić, możesz dodać regułę w tej zakładce za pomocą adresu IP swojego Appvm i zmienić ustawienia, aby odmówić wejścia. A potem możesz zobaczyć zmianę w tabeli przesyłania dalej swojego proxyvm z zamiast AKCEPTUJ dla polityki każdej reguły z adresem IP twojej maszyny wirtualnej, zasadą ODRZUCENIA. Należy jednak pamiętać, że zasady dotyczą odpowiedzi na świat zewnętrzny, a nie wniosków. Ponieważ łatwiej jest kontrolować odpowiedzi VM (ponieważ w przypadku większości transakcji internetowych

Jeśli chcesz mieć naprawdę bezpieczny system, powinieneś skonfigurować swoją zaporę ogniową dla każdej aplikacji za pomocą skryptu w rw, a także stworzyć sobie proxyvm jak sys-firewall ze wszystkimi regułami, które chcesz zastosować. Jest taka opcja w qubes-manager, gdy chcesz utworzyć vm.

— czuwanie
źródło