Можно ли нехитрым способом поставить Whonix на Макбук, при этом запретить макбуку полностью выход в сеть, но оставить доступ через виртуальный роутер Whonix'a?Или, если отрубить в макбуке, то и Whonix не выйдет?Если же невозможно, то есть можно ли такое сделать на Линуксе? Правда, ставить линукс, чтобы запустить ВМ и в ней запустить линукс звучит туповато, легче просто настроить основную систему.
>>1885240 (OP)Считай, что нет. Т.е. теоретически можно, но очень геморно и нет никаких гарантий, что в один прекрасный день OSX в очередной раз не посчитает себя умнее пользователя.>можно ли такое сделать на Линуксе? Правда, ставить линукс, чтобы запустить ВМ и в ней запустить линукс звучит туповатоМожно. Этот твой whonix устроен именно так.>легче просто настроить основную систему.Нет, не легче. Альтернатива изоляции приложений с помощью виртуалки только одна - контейнерная виртуализация. Судя по тому, что ты задаешь подобные вопросы, грамотно ты ее никогда не настроишь.Так что грузи этот свой whonix с флешки и не заморачивайся.
>>1885251>Нет, не легче. Альтернатива изоляции приложений с помощью виртуалки только одна - контейнерная виртуализация. Судя по тому, что ты задаешь подобные вопросы, грамотно ты ее никогда не настроишь.Ясно-понятно, тов. майор.Предположим, контейнерную виртуализацию легко гуглить. А вот линк на то, как обрубить выход основной системы, сохраняя доступ из виртуализированной среды?
>>1885260>контейнерную виртуализацию легко гуглить.Нет, не легко. LXC-контейнеры сейчас активно разрабатываются, поэтому актуальной документации по ним не особо много. И уж точно это не хаутухи уровня "нажми туда, потом сюда, и все заработает". Самая полная, что я встречал, это серия постов с описанием работы от одного из разработчиков, Stéphane Graber.>А вот линк на то, как обрубить выход основной системы, сохраняя доступ из виртуализированной среды?А вот это как раз легко гуглится. Дока по iptables, потом читаешь про iptables container isolation.
>>1885277Спасибо, займусь.Но сразу еще один вопрос - две VM на Линуксе, одна с рабочей системой, другая виртуальный роутер, с выпилом доступа из системы-хоста к интернету - такая же реальная вещь? Тоже курить ман по iptables?
>>1885295Сколько угодно VM. У каждой из них может быть по одному или несколько виртуальных (или реальных) сетевых интерфейсов и маршрутизацию между ними ты можешь настраивать, как в голову взбредет.>Тоже курить ман по iptables?Это довольно объемная тема и от чтения "академической" классики тебе не отвертеться. Если хорошо знаком с сетями (уровни OSI, структура IP-пакетов, маршрутизация со всякими масками и туннелями) - читай классический LARTC (не обязательно весь) и iptables howto. Если в сетях плаваешь - то предварительно раскури хотя бы википедию (прямо открываешь статью про TCP/IP и поехал), а лучше книжку Таненбаума по компьютерным сетям. Она толстая, но не сложная и читается легко, как научно-популярная литература.
В маке не иптаблес уже.
Заебали годноту палить, пидоры. Епта похуй какой-дистрибутив, возьми linux minimal запилили туда тор, пропатч grsec, проскань систему, накинь утилит, синсталлируй и настрой бриджы и гуляй сколько влезет. Тем более у виртуалок уязвимость DRAMA, так что ето хуйня. Проще отцепиться от интернета впринципе, но даже в лесу ты под спутником, помни это...
>>1885240 (OP)>поставить Whonix на Макбук, при этом запретить макбуку полностью выход в сетьТы ебанутый? Макбук это железо, хуникс это программа. Если ты запретишь макбуку выход в сеть, хуникс на нём тоже никуда не сможет выйти.Формулируй вопросы человеческим языком.
>>1886656ну тащемта он может сделать виртуальный тырфейс между ОС своего кекбука и хуниксом, и направлять трафик через него, а виртуалочку с хуниксом бриджить через физический тырфейс кекбука. но это будет ничем не лучше софтфаервола. хотя кекось не шинда и вероятно не наебует pf на долляры трафик. хотя хуй его знает, че они туда напердолили.более правильное решение - гипервизор 1го уровня, в него как домU pfsense\opnsense\whonix\ipfire\че угодно еще и как еще один domU имещий связь только с первым domU, твою любимую ось, или даже как dom0 netbsd например, но честно говоря фаервол-ориентед дистры как фаерволы более лучше, тупо из-за удобства управления.
>>1886956>между ОС своего кекбука и хуниксом>поставить Whonix на Макбук
>>1886960А в чем проблема то?
>>1885277>lxcЕбать, люди docker написали лишь бы это говно руками не трогать, что ты советуешь
>>1887603В том, что кое-кто не понимает разницы между hardware и software.
>>1885240 (OP)Вариант для параноиков - купить usb router, где поднять tor или openvpn/shadowsocks. Правда даже на дорогом wifi pineapple процессор говно еще то, впн больше 15мбит не выдаст.Есть еще nanopi neo air, но там голый debian, к нему нет корпусов %%впрочем заколхозить оный не проблема благо плата совершенно плоская% и его придется подключать шнурком, а не напрямую к usb.А так поставь LittleSnitch, там есть функция vpn killswitch и яблосервисы можно заблокировать при желании. Openvpn over shadowsocks настроить тоже не проблема.