Bloquee el acceso a Internet, excepto para una máquina virtual y una actualización de Windows

Mi hermano tiene una computadora portátil (con Windows 7) que realmente quiere mantener segura. Originalmente, él no iba a conectarlo a Internet, pero le sugerí que probablemente podría configurar una máquina virtual Ubuntu para que aún pudiera navegar por Internet y proteger los archivos en la máquina host. Estoy planeando usar Virtual Box o VMWare para la máquina virtual. ¿Hay alguna forma de restringir las conexiones a Internet para que el tráfico sea solo para Windows Update o la Máquina Virtual?

Para VMWare, puede deshabilitar IPv4 e IPv6 en la configuración del adaptador, esto deshabilitará la red en el host pero aún permitirá que la VM acceda a ella si está configurada en Bridged . Puede volver a verificar IPv4 para habilitar temporalmente Internet para permitir actualizaciones si tiene un problema que corrige una actualización.

¿Por qué no simplemente usar Ubuntu como el sistema operativo principal? Si necesita Windows, debería considerar ejecutar el navegador en Sandboxie y / o usar algo como Rollback rx porque una VM será engorrosa.

Hay algunas cosas diferentes que puedes hacer. Para distinguir entre Windows y la máquina virtual, puede dar a cada sistema una dirección IP estática diferente, y luego el firewall puede asignar reglas a cada una de esas direcciones IP. Por ejemplo, puede asignar Windows 192.168.1.50 y Ubuntu 192.168.5.50. En cualquier caso, no me imagino que podría usar la misma dirección IP en ambos, ya que causaría problemas.

Además, puede combinar la información de la dirección IP con las huellas digitales de los paquetes del sistema operativo. Originalmente, esto se hizo solo con pf en las plataformas BSD, pero parece que hoy en día hay soporte para iptables .

Además, para generar reglas solo para los sistemas Windows Update, es posible utilizar un script de creación de firewall llamado masón . Genera reglas de firewall basadas en el tráfico. Sin embargo, sospecho que hay muchos servidores involucrados aquí y, como resultado, puede ser mejor habilitar todo el tráfico saliente destinado a microsoft.com, a menos que tenga la unidad para encontrarlos.