Memblokir akses internet kecuali untuk Mesin Virtual dan Pembaruan Windows

Adikku punya laptop (menggunakan Windows 7) yang benar-benar dia ingin jaga tetap aman. Awalnya, dia tidak akan menghubungkannya ke Internet, tetapi saya menyarankan agar saya mungkin membuat mesin virtual Ubuntu untuknya sehingga dia masih bisa menjelajahi Internet dan memiliki file di mesin host yang dilindungi. Saya berencana untuk menggunakan Virtual Box atau VMWare untuk mesin virtual. Apakah ada cara saya membatasi koneksi internet sehingga lalu lintas hanya untuk Pembaruan Windows atau Mesin Virtual?

Untuk VMWare Anda dapat menonaktifkan IPv4 dan IPv6 di bawah pengaturan adaptor ini akan menonaktifkan jaringan pada host tetapi masih memungkinkan untuk diakses oleh VM jika diatur Dijembatani . Anda dapat memeriksa ulang IPv4 untuk sementara waktu mengaktifkan internet untuk memungkinkan pembaruan jika Anda mengalami masalah perbaikan yang diperbarui.

Mengapa tidak menggunakan Ubuntu saja sebagai OS utama? Jika Anda membutuhkan Windows, Anda harus mempertimbangkan menjalankan browser di Sandboxie dan / atau menggunakan sesuatu seperti Rollback rx karena VM akan rumit.

Ada beberapa hal berbeda yang dapat Anda lakukan. Untuk membedakan antara windows dan mesin virtual Anda dapat memberikan setiap sistem alamat IP statis yang berbeda, dan kemudian firewall dapat menetapkan aturan untuk masing-masing alamat IP tersebut. Misalnya Anda dapat menetapkan Windows 192.168.1.50 dan Ubuntu 192.168.5.50. Bagaimanapun, saya tidak akan membayangkan bahwa Anda dapat menggunakan alamat IP yang sama di keduanya karena akan menyebabkan masalah.

Selain itu Anda dapat menggabungkan informasi alamat IP dengan sidik jari paket OS. Awalnya ini dilakukan hanya dengan pf pada platform BSD, tetapi sepertinya ada dukungan untuk iptables hari ini.

Selanjutnya untuk menghasilkan aturan hanya untuk sistem Pembaruan Windows dimungkinkan untuk menggunakan skrip pembuatan firewall yang disebut tukang batu . Ini menghasilkan aturan firewall berdasarkan lalu lintas. Meskipun, saya menduga ada banyak server yang terlibat di sini dan sebagai hasilnya mungkin yang terbaik adalah mengaktifkan semua lalu lintas keluar yang ditujukan ke microsoft.com, kecuali Anda memiliki drive untuk menemukan semuanya.