Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

[anonymousdark]

Vielen Dank für deine Mühe!

Deine Zwei Zeilen für den OpenDNS Server kann ich auch dort drunter schreiben, richtig?

 

[ooo]

Kein Problem. - Und ja, die DNS-Zeilen schreibst du einfach ganz ans Ende dazu.

 

[anonymousdark]

Kannst du mal einen Blick über das Script werfen und mir sagen ob das richtig ist?

##
## iptables.sh   
## AFWall+ additional firewall rules
## Mike Kuketz
## www.kuketz-blog.de
## Changes: 25.08.2014
##

IPTABLES=/system/bin/iptables
IP6TABLES=/system/bin/ip6tables

# All 'afwall' chains/rules gets flushed automatically, before the custom script is executed

# Flush/Purge all rules expect OUTPUT (quits with error)
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IP6TABLES -F INPUT
$IP6TABLES -F FORWARD
$IP6TABLES -t nat -F
$IP6TABLES -t mangle -F

# Flush/Purge all chains
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
$IP6TABLES -X
$IP6TABLES -t nat -X
$IP6TABLES -t mangle -X

# Deny IPv6 connections 
$IP6TABLES -P INPUT DROP 
$IP6TABLES -P FORWARD DROP 
$IP6TABLES -P OUTPUT DROP

## Block Facebook https://developers.facebook.com/docs/apps/security
## Outgoing Connection
$IPTABLES -A "afwall" -d 31.13.24.0/21 -j REJECT
$IPTABLES -A "afwall" -d 31.13.64.0/18 -j REJECT
$IPTABLES -A "afwall" -d 66.220.144.0/20 -j REJECT
$IPTABLES -A "afwall" -d 69.63.176.0/20 -j REJECT
$IPTABLES -A "afwall" -d 69.171.224.0/19 -j REJECT
$IPTABLES -A "afwall" -d 74.119.76.0/22 -j REJECT
$IPTABLES -A "afwall" -d 103.4.96.0/22 -j REJECT
$IPTABLES -A "afwall" -d 173.252.64.0/18 -j REJECT
$IPTABLES -A "afwall" -d 204.15.20.0/22 -j REJECT

## Block GOOGLE IPs
## Outgoing Connection
#
# Hier die Google IPs eintragen, die geblockt werden sollen ... OHNE führendes "#" (= Kommentar).
$IPTABLES -A "afwall" -d 64.18.0.0-64.18.15.255 -j REJECT
$IPTABLES -A "afwall" -d 64.233.160.0-64.233.191.255 -j REJECT
$IPTABLES -A "afwall" -d 66.102.0.0-66.102.15.255 -j REJECT
$IPTABLES -A "afwall" -d 66.249.80.0-66.249.95.255 -j REJECT
$IPTABLES -A "afwall" -d 72.14.192.0-72.14.255.255 -j REJECT
$IPTABLES -A "afwall" -d 74.125.0.0-74.125.255.255 -j REJECT
$IPTABLES -A "afwall" -d 173.194.0.0-173.194.255.255 -j REJECT
$IPTABLES -A "afwall" -d 207.126.144.0-207.126.159.255 -j REJECT
$IPTABLES -A "afwall" -d 209.85.128.0-209.85.255.255 -j REJECT
$IPTABLES -A "afwall" -d 216.239.32.0-216.239.63.255 -j REJECT

##Block GOOGLE IPs
##Incoming Connection
#
$IPTABLES -A INPUT -m iprange --src-range 64.18.0.0-64.18.15.255 -j DROP
$IPTABLES -A INPUT -m iprange --src-range 64.233.160.0-64.233.191.255 -j DROP
$IPTABLES -A INPUT -m iprange --src-range 66.102.0.0-66.102.15.255 -j DROP
$IPTABLES -A INPUT -m iprange --src-range 66.249.80.0-66.249.95.255 -j DROP
$IPTABLES -A INPUT -m iprange --src-range 72.14.192.0-72.14.255.255 -j DROP
$IPTABLES -A INPUT -m iprange --src-range 74.125.0.0-74.125.255.255 -j DROP
$IPTABLES -A INPUT -m iprange --src-range 173.194.0.0-173.194.255.255 -j DROP
$IPTABLES -A INPUT -m iprange --src-range 207.126.144.0-207.126.159.255 -j DROP
$IPTABLES -A INPUT -m iprange --src-range 209.85.128.0-209.85.255.255 -j DROP
$IPTABLES -A INPUT -m iprange --src-range 216.239.32.0-216.239.63.255 -j DROP

## Connect to OpenDNS
#
iptables -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.222.222:53
iptables -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 208.67.222.222:53

 

[ooo]

Ich habe dir die IP-Ranges für Google mal angepasst ("<GOOGLE-IP/24" - bzw. auch -s = source = von wo kommt die Verbindung; -d = destination = wohin will die Verbindung)

##
## iptables.sh
## AFWall+ additional firewall rules
## anonymousdark + ooo @android-hilfe.de
## changed: 2015-10-16

IPTABLES=/system/bin/iptables
IP6TABLES=/system/bin/ip6tables

# All 'afwall' chains/rules gets flushed automatically, before the custom script is executed

# Flush/Purge all rules expect OUTPUT (quits with error)
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IP6TABLES -F INPUT
$IP6TABLES -F FORWARD
$IP6TABLES -t nat -F
$IP6TABLES -t mangle -F

# Flush/Purge all chains
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
$IP6TABLES -X
$IP6TABLES -t nat -X
$IP6TABLES -t mangle -X

# Deny IPv4 connections - to block ALL traffic in conjunction with the following IPv6-DROP-block
# only as a hint ... after that you will have to open single ports like tcp/80 (http).
#$IPTABLES -P INPUT DROP
#$IPTABLES -P FORWARD DROP
#$IPTABLES -P OUTPUT DROP

# Deny IPv6 connections
$IP6TABLES -P INPUT DROP
$IP6TABLES -P FORWARD DROP
$IP6TABLES -P OUTPUT DROP

## Block Facebook https://developers.facebook.com/docs/apps/security
## Outgoing Connection
$IPTABLES -A "afwall" -d 31.13.24.0/21 -j REJECT
$IPTABLES -A "afwall" -d 31.13.64.0/18 -j REJECT
$IPTABLES -A "afwall" -d 66.220.144.0/20 -j REJECT
$IPTABLES -A "afwall" -d 69.63.176.0/20 -j REJECT
$IPTABLES -A "afwall" -d 69.171.224.0/19 -j REJECT
$IPTABLES -A "afwall" -d 74.119.76.0/22 -j REJECT
$IPTABLES -A "afwall" -d 103.4.96.0/22 -j REJECT
$IPTABLES -A "afwall" -d 173.252.64.0/18 -j REJECT
$IPTABLES -A "afwall" -d 204.15.20.0/22 -j REJECT

## Block GOOGLE IPs
## Outgoing Connection
#
# Hier die Google IPs eintragen, die geblockt werden sollen ... OHNE führendes "#" (= Kommentar).
$IPTABLES -A "afwall" -d 64.18.0.0/24 -j REJECT
$IPTABLES -A "afwall" -d 64.233.160.0/24 -j REJECT
$IPTABLES -A "afwall" -d 66.102.0.0/24 -j REJECT
$IPTABLES -A "afwall" -d 66.249.80.0/24 -j REJECT
$IPTABLES -A "afwall" -d 72.14.192.0/24 -j REJECT
$IPTABLES -A "afwall" -d 74.125.0.0/24 -j REJECT
$IPTABLES -A "afwall" -d 173.194.0.0/24 -j REJECT
$IPTABLES -A "afwall" -d 207.126.144.0/24 -j REJECT
$IPTABLES -A "afwall" -d 209.85.128.0/24 -j REJECT
$IPTABLES -A "afwall" -d 216.239.32.0/24 -j REJECT

##Block GOOGLE IPs
##Incoming Connection
#
$IPTABLES -A INPUT -s 64.18.0.0/24 -j REJECT
$IPTABLES -A INPUT -s 64.233.160.0/24 -j REJECT
$IPTABLES -A INPUT -s 66.102.0.0/24 -j REJECT
$IPTABLES -A INPUT -s 66.249.80.0/24 -j REJECT
$IPTABLES -A INPUT -s 72.14.192.0/24 -j REJECT
$IPTABLES -A INPUT -s 74.125.0.0/24 -j REJECT
$IPTABLES -A INPUT -s 173.194.0.0/24 -j REJECT
$IPTABLES -A INPUT -s 207.126.144.0/24 -j REJECT
$IPTABLES -A INPUT -s 209.85.128.0/24 -j REJECT
$IPTABLES -A INPUT -s 216.239.32.0/24 -j REJECT

## Connect to OpenDNS
#
iptables -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.222.222:53
iptables -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 208.67.222.222:53

 

[anonymousdark]

Danke dir.

Ich kenn mich da nicht so aus.
Also:

64.18.0.0-64.18.15.255 (ist das gleiche wie) 64.18.0.0/24 ??

Hier sind nochmal die IPs:

JDBC  |  Apps Script  |  Google Developers

oder

http://www.iplists.com/google.txt

 

[ooo]

64.18.0.0-64.18.15.255 (ist das gleiche wie) 64.18.0.0/24 ??

Nein. - Du hast recht. - Ich habe nicht gesehen, dass es nicht nur 254 256 IPs sind.

CIDR-Notation

 

[anonymousdark]

Okay, da muss ich erstmal druchblicken....

Also /24 sind 254IPS
und /25 sind 126IPS

Was sind dann 255?

Dann mann man das nicht verkützt schreiben? (Übersichtlicher schlanker Code)

 

[ooo]

/24 sind 256 IPs (0..255)
/25 sind 128 IPs (0..127)

Umrechnung von IP-Adress-Bereichen (von IP bis IP) in das CIDR-Format:
http://insidesupport.org/tools/ip_range_to_cidr

Beispiel:

Eingabe in Feld "Ip start"
64.18.0.0

Eingabe in Feld "ip end"
64.18.15.255

Ergebnis
64.18.0.0/20

Deine Regel für den Bereich:

...
$IPTABLES -A INPUT -s 64.18.0.0/20 -j REJECT
...

 

[anonymousdark]

Ah okay. schönes Tool.
Auf dieser Seite sind die Adressen in diesem Format glaub ich schon aufgelistet.
bei 2.

JDBC  |  Apps Script  |  Google Developers

Werde die IPs mit deiner Seite nochmal kontrollieren.

Vielen Dank.
[DOUBLEPOST=1444997784,1444995941][/DOUBLEPOST]Bei Incoming auch AfWall mit " also:

$IPTABLES "afwall" -A INPUT -s 64.18.0.0/24 -j REJECT

oder ohne "afwall"?

 

[ooo]

NEIN. - "afwall" ist NUR für OUTGOING zuständig ...

(Alles nach drinnen ist INPUT ... und bei jedem Androiden sowieso standardmäßig geblockt.)

 

[anonymousdark]

Okay danke!!

 

[anonymousdark]

Wenn man per IPTables noch sagt, dass nur eine Verbindung zum eigenen W-Lan hergestellt werden soll.
z.B: IP 192.168.0.1 oder 192.168.0.2.1 oder....

Hat man dann zudem W-Lan bei Bekannten keinen Zugang mehr?

 

[C55]

AFwall v2.1.2
C55 Lollipop 5.1 Build Siswoo-C55-V01-20150716-123330
Rootet

Hallo,
ich hab zur AFwall mal ein paar fragen, vielleicht kann mir jemand weiterhelfen.

Muss ich die Firewall (App) nach dem Booten starten, oder geht das Automatisch ?.
Bei meinem Siswoo C55, muss ich jedes mal nach dem Booten die Firewall von Hand starten, und die Regel "Anwenden" bestätigen.
Auch der Start-Datenleck Fix funktioniert nicht (Rom Kernel init.t)

Ich habe das mal mit Firefox getestet, und probeweise in der Afwall Firefox gesperrt.
Nach dem Booten, (ohne die Firewall von Hand zu starten), kommt Firefox ins Internet.
Starte ich jetzt die Firewall ohne die Regeln zu laden, kommt Firefox ins Internet.
Wenn ich jetzt die Regeln lade, dann wird Firefox blockiert.

In den Lollipop Einstellungen (Nutzer - Sicherheit - Auto-start management) ist AFwall als Autostart aktiv markiert.

Entweder mach noch was falsch, oder das C55 startet die Firewall und Regeln nicht ??.

Ich weiss, dass der Autostart beim C55 nicht richtig funktionieren soll (Bug).

 

[anonymousdark]

Muss ich die Firewall (App) nach dem Booten starten, oder geht das Automatisch ?.

Startet eigetlich automatisch, wenn du vorher alles korrekt eingerichtet hast. Also nein muss du nicht manuell machen.

Hast du auch unter Einstellungen - Oberfläche Bestätigungsfenster beim Deaktivieren von AFWall+ den haken gesetzt?

Hast du ein IPTables-Script eingesetzt? Hatte auch das Problem mit einer Leerzeile.

 

[ooo]

Hat man dann zudem W-Lan bei Bekannten keinen Zugang mehr?

Man hat dann keinen Zugang mehr, es sei denn, der IP-Range beim Bekannten ist identisch. - Wenn der IP-Range dort abweicht und man sehr oft in diesem W-LAN ist, kann man sich eine zusätzliche Regel für das W-LAN beim Bekannten im Custom Script anlegen. Oder sich ein AFWall-Profil anlegen, das eine andere Custom-Script-Datei mit den entsprechenden Einträgen hat. - Dann beim Bekannten in der Firewall auf dieses Profil umschalten.
___

Muss ich die Firewall (App) nach dem Booten starten, oder geht das Automatisch ?.

Nein, muss man normalerweise nicht. - AFWall startet den Service automatisch. - Ohne Init.d startet es auch automatisch.- Zum nicht funktionierenden Datenleck-Fix habe ich im Start-Posting geschrieben, wie man sich dann verhalten sollte (Flugmodus immer anschalten, bevor man neu startet/ausschaltet).
___

Ich weiss, dass der Autostart beim C55 nicht richtig funktionieren soll (Bug).

Dann musst du "Kollegen" mit/Foren zu diesem Phone finden und dir dort Rat holen. - Ich habe das Phone nicht und kann dir da leider nicht helfen, sorry.

 

[C55]

Startet eigetlich automatisch, wenn du vorher alles korrekt eingerichtet hast. Also nein muss du nicht manuell machen.

Hast du auch unter Einstellungen - Oberfläche Bestätigungsfenster beim Deaktivieren von AFWall+ den haken gesetzt?

Haken jetzt gesetzt, Firewall startet nicht automatisch

Hast du ein IPTables-Script eingesetzt? Hatte auch das Problem mit einer Leerzeile.

Keine IPTables Script eingesetzt.

 

[anonymousdark]

Man hat dann keinen Zugang mehr, es sei denn, der IP-Range beim Bekannten ist identisch. - Wenn der IP-Range dort abweicht und man sehr oft in diesem W-LAN ist, kann man sich eine zusätzliche Regel für das W-LAN beim Bekannten im Custom Script anlegen. Ode sich ein AFWall-Profil anlegen, das eine andere Custom-Script-Datei mit den entsprechenden Einträgen hat. - Dann beim Bekannten in der Firewall auf dieses Profil umschalten.

Alles klar, Captain Jean-Luc-Picard.
Mit einem Profil, das leuchtet ein, bin auch blöd...:blushing:

Und per IPTables sagen, dass nur eine Verbindung (wenn man diese einschaltet) zu meinem Mobilanbieter geht?
Also eine Mobile Internetverbindung.

Würde das Sinn machen?

 

[ooo]

@C55 - Wenn du mit SuperSU rootest, kannst du mal das hier probieren:

• Phone Back-To-Stock
• TWRP neu flashen, aber NICHT mit TWRP rooten (Abfrage von TWRP IMMER ablehnen)
• In TWRP mit UPDATE-SuperSU-v2.46.zip rooten
• Dann diese Flashable-Zip-Datei in TWRP installieren (gibt dir vllt. ein funktionierendes init.d)
  
• Danach AFWall+ installieren und testen (auch Datenleck-Fix aktivieren)

(Denk bitte an deine Backups, vorher ...)

Sag uns bitte Bescheid, ob's funzt, okay?

___
@anonymousdark - Warum? - Entweder du willst Mobile Daten oder eben nicht? - Entweder Mobile Daten ein oder aus ...

 

[C55]

Hallo,
ich hab jetzt mal die AFwall auf meinem alten Tablet installiert, (Android 4.2.2)
Das hätte ich auch schon mal früher testen können, naja...

Die Firewall start beim Tablet automatisch, liegt also am C55.

Ist zwar ärgerlich, aber kein Beinbruch.

Ich danke auch allen.....

 

[ooo]

@C55 - [E 2015][Stock-ROM][MOD] Fehlendes init.d für Start-Scripte einrichten (über su.d - SuperSU Daemon)

(Passt evtl. auch für dein Phone. - Siehe meinen Vorpost über deinem. - Wichtig ist nur, dass du sauber mit SuperSU gerootet hast. - Nicht mit KingRoot oder xyz-Root ...)