Не сморел whonix, но всё очевидно. Есть сложные приложения, работающие с потенциально опасными данными из внешнего мира, которые мы хотим анонимизировать. Поскольку всегда есть вероятность, что контроль над системой, в которой они выполняются, перейдёт в чужие руки после эксплоита, их не следует запускать в той же системе, в которой хранится ценная информация; следовательно, нужен физически отдельный компьютер или виртуальная машина (вариант для бедных, данные всё равно проходят через хост и могут с ним что-то сделать). Если мы ставим средство анонимизации в ту же самую систему, чужой код получает те же возможности работы с сетью, что есть у этого средства, а также возможность влиять на работоспособность его самого и, возможно, каких-то удалённых компонентов. Следовательно, средство анонимизации должно быть внешним по отношению к анонимизируесой системе, которая, в идеале, общается с ним по валидируемому протоколу через прокси-сервер, осуществляющий проверку и запись действий, либо использует предоставленный тупой туннель без возможности что-то с ним сделать. С другой стороны, все описанные предосторожности касаются самого средства анонимизации в полной мере, поэтому запускать его в системе, содержащей ценные данные, нельзя точно так же. Отсюда получаем две отдельных системы для двух звеньев цепочки, лучше, если не делящие сеть с личной системой вообще. Защита от сетевого обмена методом удаления IP-адреса — это шик, конечно. Ещё можно на корпус защитную раскраску нанести.