Vou responder aqui já que ainda não tenho a reputação de comentar sua pergunta e pedir mais informações
Não está claro do que você está falando. É a interface do qubes-manager de um dos Appvm nas regras da aba do firewall? ?
Ou é o script de usuário que você pode modificar e ativar com chmod a + x em / rw / config / qubes-firewall-user-script?
Você verificou a configuração do iptables do seu Appvm? ou firewall-cmd? Em um terminal eu quero dizer do seu AppVM?
Não se esqueça que todo appvm é de fato ainda um vm com todo o sistema emulado, não apenas o aplicativo. Apenas mascara tudo além do aplicativo que você abriu. Então você ainda tem acesso a um terminal em cada Appvm que existe.
De qualquer forma talvez este artigo o ajude melhor. Então, como dito, se você estiver falando sobre a aba Configurações / Firewall do seu AppVM, ele aplicará uma regra ao proxyAppVM que você anexou ao seu AppVM. Isso significa que é uma regra ligá-lo ao mundo externo por meio de uma porta específica, por exemplo. Então, como eu não tenho uma explicação muito específica do que você quer fazer, você pode adicionar uma regra nesta aba com o ip do seu Appvm e alterar as configurações para negar tudo para entrar. E, em seguida, você pode ver a alteração na tabela de encaminhamento de seu proxyvm com no lugar de ACCEPT para a política de cada regra com o endereço IP de sua VM, uma política REJECT. Mas, tenha em mente que as regras dizem respeito à resposta ao mundo exterior e não às solicitações. Porque é mais simples controlar o que o vm responde (porque com a maior parte da transação da internet, há um pedido de transação e uma resposta) então a possível entrada da porta aberta do mundo exterior para as diferentes vms.
Se você quer um sistema realmente seguro, então você deve configurar seu firewall para cada appvm com o script em rw e também criar um proxyvm como sys-firewall com todas as regras que você deseja aplicar. Existe uma opção para isso no qubes-manager quando você quer criar um vm.