如何实现系统不能联网，但是系统上的应用可以联网？

感觉这里面隐藏了某个具体的需求，直接说清楚的话，可能会有更简单的方案

把相关域名加 hosts 呢？

如何从技术层面区分属于“系统”的组件程序 vs 自己安装的第三方应用程序？

网络出口设置防火墙规则

魔改系统吧

刁民

这活我经常干
系统网卡 ipv4/v6 不配置网关，不配置 DNS
软路由上开 socks5 代理，需要上网的应用设置走此代理
最好不要设置系统级代理，因为很多软件能感知这个设置

内网跳板机，然后单独配置应用走代理？需求有点刁难了，最好说清具体想要实现的是什么。

策略组 应该可以吧

楼主所说的系统不能联网确切的讲应该是(系统级应用程序)不能联网，自己指定的应用程序能联网。

操作系统不能联网想啥呢，所有的应用程序都是使用网络 API ，通过调用的 system call ，走网络协议栈，通过驱动调用网卡硬件进行网络通信的。

Windows 更新如果微软狠一点，直接做进内核里，你通过本机 Windows 系统是没办法做任何限制的。只能通过路由器进行网络访问权限管理。

这是很基础且很常见的网工场景，典型的例子是虚拟化集群系统，实现方式是服务器多网口 + 每个网口不同网段 + 每个网口不同 vlan 或 vxlan 。有时候甚至厂家的部署工程师，为了不干扰用户私有网段，会给虚拟化系统的内部的业务配置 1.1.1.x 这样的网段。

用防火墙吧。。。把特定 ip 开白名单

@laminux29 #31 OP 的粒度是**各操作系统**具体的进程，不是某个 container ，甚至可能只有一个操作系统用户，我觉得这既不基础也不常见。我赞同 #30 ，我认为这几十层里所有方案都达不到这个需求，除非 OP 提出真正的需求并加以限制

网关设备写一个流量劫持中转服务，只有白名单流量才会通过，其他全部阻塞掉

先全局禁止，然后放行需要的应用吧

想到的几种办法：
1. 用防火墙，不给系统默认网关，然后利用防火墙来丢到正确的网关
2. hook socket 调用，给 udp 和 tcp 加一个 cookieid ，只有识别到 id 才放行，个人感觉这个会比较通用，但需要网关处理报文
3. 设置 socks 代理，只有支持 socks 的应用会比较好用

只是禁用 Windows 自动更新的话可以用组策略，调两个设置即可，别的啥都不用动。

我这边 20 多个机器禁止联网，所以开了个低配置有公网权限的当网关代理转发的。。。

Windows 用 SimpleWall ，iOS 等等的要么自建 DNS （ NEXTDNS 等等）或路由器挡。DNS 那步我成了，但国内这智障网络默认是挡的自建 DNS ，所以最好全局

这天聊的就扯淡。传输层还是会交给系统来处理的。