如何实现系统不能联网，但是系统上的应用可以联网？

要靠独立的防火墙和自建 dns 服务器了，规则要一条条建。 操作系统要虚拟化。 这是要做密保？

Windows 的化，可以走一条 usb 驱动，自建 tcp 协议，单独应用装载驱动

局域网不允许上网 只有使用特定代理才可以上网

走代理不就好了

网关直接白名单通行

@laminux29 好奇问一下，如果用 1.1.1.x 这样的网段，是不是这些机器不连接互联网?因为理论上 1.1.1.x 是公网吧？这样会与公网冲突。

你这么多系统都要实现这个功能，肯定不能在系统上想办法，只能系统外，也不是所有的应用都支持代理模式，所以唯一的答案可能就是防火墙+白名单模式了

防火墙只开放特定的域名和 ip ，麻烦的点是可能要手动抓取一些应用的域名和 ip

建议描述下原始需求

@huangya 内部互联无所谓，只要不访问对应 ip 段的公网服务就没事，我见过有些地方电信拿 1.1.1.1 做内部 ip 的，你看出过什么大事吗？其实没有，也就我们这种要访问 cloudflare 的会骂一嘴。

怼到光猫上让 docker 容器来拨号？

我现在就是这样的。
a:需要处理为系统不能上网，但是可以上外网的电脑，a 的 IP 为 192.168.110.2 ，网关设置为空。
b:一台能上网的电脑，b 的 ip 为 192.168.110.3 ，b 的网关为 192.168.110.1 。

然后具体需要上网的程序，需要配置 http 代理指向电脑 b ，如果你的 b 电脑是 win 可以开个 v2rayNG ，提供局域网的 http 代理。电脑 b 其实可以是使用 op 的 passwall 提供的 http 代理。


再说一下，为啥我会有这种需求呢？
有些东西不想泄漏，所以担心开源的工具有漏洞，如果它是完全局域网来使用，就比较安全了。

意思就是，你可以给 docker 配置一个局域网代理来让 docker 上网。但是你的实体主机不要设置网关，但是需要手动给他设置一个 ip ，使用 ip 转发 http 到其它能上网的主机。而自身又没有默认网关。


如果熟悉 iptables 的话，真的可以设置权，拦截，然后来源是某个程序的流量就当行。类似 v2ray 透明那样的处理。不过是按自己的逻辑修改的才行。应该也是可以的。但是对于安全和简单处理的话，还是设置 http 代理比较好。如果程序无法设置代理，那只能使用 iptables 标记某个程序发出流量，再在 op 网关那里拦截没有标记的流量包。思路应该是这样

iptable 无所不能