如何实现系统不能联网,但是系统上的应用可以联网?

172 天前
 61162833
针对以下系统:
1 、Windows
2 、Android
3 、MacOS
4 、iOS
5 、各种 linux desktop

如何实现系统无联网权限,但是系统上的应用(例如 docker )有联网权限?

(测试过 Windows10 系统的防火墙,只对特定应用开启联网权限,但是 windows 更新的域名即使加入其防火墙也不生效,系统仍然有联网权限...)
6788 次点击
所在节点    宽带症候群
53 条回复
yohole
171 天前
感觉这里面隐藏了某个具体的需求,直接说清楚的话,可能会有更简单的方案
zzznow
171 天前
把相关域名加 hosts 呢?
adoal
171 天前
如何从技术层面区分属于“系统”的组件程序 vs 自己安装的第三方应用程序?
y1y1
171 天前
网络出口设置防火墙规则
EndlessMemory
171 天前
魔改系统吧
Altairvelvet
171 天前
刁民
busier
171 天前
这活我经常干
系统网卡 ipv4/v6 不配置网关,不配置 DNS
软路由上开 socks5 代理,需要上网的应用设置走此代理
最好不要设置系统级代理,因为很多软件能感知这个设置
docx
171 天前
内网跳板机,然后单独配置应用走代理?需求有点刁难了,最好说清具体想要实现的是什么。
songge
171 天前
策略组 应该可以吧
shijingshijing
171 天前
楼主所说的系统不能联网确切的讲应该是(系统级应用程序)不能联网,自己指定的应用程序能联网。

操作系统不能联网想啥呢,所有的应用程序都是使用网络 API ,通过调用的 system call ,走网络协议栈,通过驱动调用网卡硬件进行网络通信的。

Windows 更新如果微软狠一点,直接做进内核里,你通过本机 Windows 系统是没办法做任何限制的。只能通过路由器进行网络访问权限管理。
laminux29
171 天前
这是很基础且很常见的网工场景,典型的例子是虚拟化集群系统,实现方式是服务器多网口 + 每个网口不同网段 + 每个网口不同 vlan 或 vxlan 。有时候甚至厂家的部署工程师,为了不干扰用户私有网段,会给虚拟化系统的内部的业务配置 1.1.1.x 这样的网段。
huihuilang
171 天前
用防火墙吧。。。把特定 ip 开白名单
0o0O0o0O0o
171 天前
@laminux29 #31 OP 的粒度是**各操作系统**具体的进程,不是某个 container ,甚至可能只有一个操作系统用户,我觉得这既不基础也不常见。我赞同 #30 ,我认为这几十层里所有方案都达不到这个需求,除非 OP 提出真正的需求并加以限制
jackOff
171 天前
网关设备写一个流量劫持中转服务,只有白名单流量才会通过,其他全部阻塞掉
supereater
171 天前
先全局禁止,然后放行需要的应用吧
nuk
171 天前
想到的几种办法:
1. 用防火墙,不给系统默认网关,然后利用防火墙来丢到正确的网关
2. hook socket 调用,给 udp 和 tcp 加一个 cookieid ,只有识别到 id 才放行,个人感觉这个会比较通用,但需要网关处理报文
3. 设置 socks 代理,只有支持 socks 的应用会比较好用
morpheuszero2023
171 天前
只是禁用 Windows 自动更新的话可以用组策略,调两个设置即可,别的啥都不用动。
ClericPy
171 天前
我这边 20 多个机器禁止联网,所以开了个低配置有公网权限的当网关代理转发的。。。
Kenshiro
171 天前
Windows 用 SimpleWall ,iOS 等等的要么自建 DNS ( NEXTDNS 等等)或路由器挡。DNS 那步我成了,但国内这智障网络默认是挡的自建 DNS ,所以最好全局
Routeros
171 天前
这天聊的就扯淡。传输层还是会交给系统来处理的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1055400

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX