Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

[zcover]

Hallo ooo,

für mich sind sind AFWall+ und Xposed Framework XPrivacy sehr komplex.
Welche App empfiehlst Du zuerst zu konfigurieren?
An zwei Stellschrauben gleich zu drehen halte ich für wenig sinnvoll, da bekomme ich immer Probleme und weiß nicht genau woher das Problem kommt.

Beste Grüße

zcover

 

[an0n]

@zcover: Bei mir habe ich bei Xprivacy nichts eingestellt, wenn eine App nach einer Berechtigung fragt, erst dann wähl ich mit einem Klick ob es die Berechtigung ausführen darf oder nicht, eigentlich ist das sehr simpel. Wenn man an den benutzerdefinierten Einstellungen was ändern will, ist es durchaus komplex für neue User. Hatte aber nie Konflikte zwischen Xprivacy-Afwall erlebt.

@ooo: bei Afwall: durch das deaktivieren des DNS Proxy(DNS via netd) läuft mein Firefox-Browser jetzt viel schneller als vorher. Hab auch die anderen Einstellungen so gemacht wie es hier steht. Bekomme nur permanent die Meldung das der Kernel versucht ins Internet zu gehn, wenn ich Internet aktiviere und im web surfe - frag mich ob das Problem weggeht wenn ich mir nen anderen Kernel flashe.
durch Deaktivieren der SMS/MMS-Internetberechtigung funktionieren schon die Anrufe, aber entgangene Anrufe können dann nicht mitgeteilt werden. Alternativ kann man aber auch andere SMS-App benutzen um Infos zu entgangenen Anrufen oder SMS zu empfangen.

 

[ooo]

@zcover

Zuerst AFWall+ installieren und fertig einrichten, dann ein (TWRP) Backup vom gesamten Phone machen (so kann man bei Bedarf ohne Probleme alles wieder zurückdrehen).

Danach XPosed/XPrivacy installieren und evtl. die Methode von @an0n (XPrivacy erst Fragen lassen und dann entscheiden) benutzen.

Du denkst absolut richtig und bist auf dem richtigen Weg: Immer nur eine Einstellung verändern und die Ergebnisse bewerten. - Auch wenn's mühsam sein kann ...

[...] Welche App empfiehlst Du zuerst zu konfigurieren? - An zwei Stellschrauben gleich zu drehen halte ich für wenig sinnvoll, da bekomme ich immer Probleme und weiß nicht genau woher das Problem kommt. [...]

___

@an0n

Du bist jetzt also weitergekommen und hattest durch deinen eigenen Einsatz Erfolg. - Find ich gut!

Die Kernel-Meldung kommt, weil du in den Einstellungen der Firewall das so aktiviert hast, dass du eine Meldung bekommen möchtest.

Komplett ein-/ausschalten:
Protokolldienst einschalten > Haken setzen oder nicht

Wenn Protokolldienst aktiv, dann per App:
Firewall > Einstellungen > Benachrichtigungsfilter > Haken verwalten

Mach sie entweder ganz aus oder benutze den Meldungs-Filter für die Apps (z. B: Kernel), bei denen du keine Meldung sehen möchtest, wenn diese durch die Firewall geblockt werden.

Es hat eher bedingt mit einem anderen Kernel zu tun: Jeder Kernel, der iptables integriert hat, wird dies auslösen. - Ein Kernel, der keine iptables hat, wäre nutzlos für AFWall+, da die App auf die Existenz des Moduls angewiesen ist und es steuert.

Wenn du Benachrichtigungs-SMS zu vergangenen Anrufen benötigst, dann musst du die SMS/MMS App in der Firewall (wieder) freischalten (Haken setzen in jedem Profil in Spalte 2 W-LAN und für unterwegs Spalte 3 Mobile Daten). - Wenn das immer noch nicht geht, dann zusätzlich Telefon.
(Eine andere App für den SMS-Empfang benötigt man dann nicht, man kann sie aber natürlich zusätzlich einsetzen, wenn man möchte.)
Wenn du ein Profil "Alles blockieren hast", dann dürfen dort weiterhin überhaupt keine Haken sein, um alles weiterhin zu blocken, klar.

Sag uns hier bitte, wie es gelaufen ist, damit die anderen das auch mitbekommen, was funktioniert und was nicht. - Danke.

@ooo: bei Afwall: durch das deaktivieren des DNS Proxy(DNS via netd) läuft mein Firefox-Browser jetzt viel schneller als vorher. Hab auch die anderen Einstellungen so gemacht wie es hier steht. Bekomme nur permanent die Meldung das der Kernel versucht ins Internet zu gehn, wenn ich Internet aktiviere und im web surfe - frag mich ob das Problem weggeht wenn ich mir nen anderen Kernel flashe.
durch Deaktivieren der SMS/MMS-Internetberechtigung funktionieren schon die Anrufe, aber entgangene Anrufe können dann nicht mitgeteilt werden. Alternativ kann man aber auch andere SMS-App benutzen um Infos zu entgangenen Anrufen oder SMS zu empfangen.

 

[zcover]

@zcover

Weil immer noch Traffic nach draußen gelangt, wenn man die Firewall so benutzt, wie sie standardmäßig eingestellt ist (siehe den Boot-Daten-Leck-Fix und dein init.d-Problem). - Ich habe es doch im Start-Posting beschrieben und dir auch inzwischen andere Quellen zur Verfügung gestellt?

Hallo ooo,

so richtig habe ich das nicht verstanden.
Jetzt habe ich mit "Network Log" meine Verbindungen kontrolliert.

Zwischenfrage, wofür sind die zwei Zeiteinstellungsoptionen, ändere ich diese in "Network Log" kann ich keine Änderungsverhalten feststellen?

Beispielhaft verbinden sind folgende Samsung Apps:

- Music Hub
- Video Hub
- S Suggest

In AFWall+ habe ich diese Apps nicht für Internetverbindungen freigegeben.

Warum verbinden sich diese Apps laut "Network Log" trotzdem mit dem Internet? AFWall+ ist noch in den Standardeinstellungen. Warum ist AFWall+ in den Standardeinstellungen so offen?

Beste Grüße

zcover

 

[m505]

ich würde versuchen, über den Menübutton zusätzlich nochmal die Regeln anwenden.
Arbeitest Du mit Blacklist oder Whitelist?
Root vorhanden?
Evtl. sind Haken falsch gesetzt.

 

[zcover]

Hallo, ich nutze den AFWall+ Modus: Ausgewählte Anwendungen erlauben
Das ist vermutlich die Whitelist.
Nur ganz wenige Anwendungen habe ich erlaubt.
Music Hub, Video Hub und S Suggest gehören nicht dazu.

 

[ooo]

Intervall addiert alle <X Zeiteinheit> die Pakete/Bits/Bytes. - Lass es so.

Zeitfenster - Es wird in der Grafik ein Zeitraum der letzen <Y Stunden> dargestellt (wenn genügend Daten da sind). - Lass es so.

Die App muss lange genug laufen, um Daten protokollieren und diese dann anzeigen zu können. (z. B. Einstellungen > Log Service > Protokollieren nach Hochfahren > Haken setzen wäre auch eine gute Idee.)

Zwischenfrage, wofür sind die zwei Zeiteinstellungsoptionen, ändere ich diese in "Network Log" kann ich keine Änderungsverhalten feststellen?

___

Du hast in der App nur die Standard-Einstellungen aktiv, wie du schreibst.

Netzwerk Log öffnen > Einstellungen > Allgemeine Optionen > Protokolliere hinter Firewall > Haken setzen

Das zeigt dann nur noch die Verbindungen, die dein Phone tatsächlich verlassen. - Ansonsten werden auch andere Verbindungen mit-protokolliert.

(Das Phone kann sich - wie dein Rechner auch - mit sich selbst verbinden. - Auch das ist Traffic und wird mitgezählt/registriert, obwohl er das Phone nicht verlässt.)

Die blockierten Verbindungen findet man in AFWall+ öffnen > Menü(-Taste) > Firewall-Protokoll

Warum verbinden sich diese Apps laut "Network Log" trotzdem mit dem Internet? AFWall+ ist noch in den Standardeinstellungen.

___

Das weiß ich nicht. - Man müssste den Entwickler fragen.

Polemische, rein rethorische und überzogene Gegenfrage: Warum ist z. B. Microsoft Windows so offen und unsicher, nachdem es frisch installiert wurde, obwohl sie ein Milliarden-Budget und tausende IT-Spezialisten haben? - Und warum lässt auch die (bereits aktivierte) Firewall von Windows zunächst alle vom Benutzer initiierten Internet-Verbindungen nach draußen?

Warum ist AFWall+ in den Standardeinstellungen so offen?

___

Das ist die Whitelist. - Wenn alle (Basis-)Einstellungen aus dem Start-Posting korrekt gemacht wurden, dann werden Änderungen automatisch aktualisiert bzw. aktiviert. - Auch bei Profil-Wechseln und Wechseln der Internet-Schnittstelle (W-LAN - Mobile Daten).

Hallo, ich nutze den AFWall+ Modus: Ausgewählte Anwendungen erlauben
Das ist vermutlich die Whitelist.
Nur ganz wenige Anwendungen habe ich erlaubt.
Music Hub, Video Hub und S Suggest gehören nicht dazu.

 

[zcover]

Hallo ooo,

wie finde ich heraus ob mein ROM eine init.d Unterstützung hat?
Aus deinen zusätzlichen Informationsquellen konnte ich die Antwort auf meine Frage nicht erlesen.

Beste Grüße

zcover


Bezug AFWall+, Einrichtung, Startposting:

Start-Datenleck Fix (Das ist besonders wichtig, weil das Phone bereits ca. während der Anzeige der Boot-Animation eine W-LAN-Verbindung aufbaut, noch bevor die Firewall aktiv ist. Apps, die dann vor der Firewall starten, können so Daten in das Internet senden. - Dieser Schalter verhindert auch das. - Die Funktion ist ausgegraut = deaktiviert, wenn man eine ROM hat, die kein init.d (= Init Daemon) besitzt. - Dann hilft es z. B., vor jedem Ausschalten den Flugmodus einzuschalten und nach dem Einschalten zu warten, bis sich die Firewall als aktiv meldet. - Erst dann sollte man den Flugmodus wieder ausschalten.)

Edit:

DNS-Proxy > DNS über netd deaktivieren (Nicht vergessen: Dann später auch im jeweiligen Profil bei "0: (Root)" und "-11: (Kernel)" den oder die Haken setzen)

Root und Kernel finde ich bei AFWall+, "0: (Root)" und "-11: (Kernel)" jedoch nicht.
Wo finde ich das richtig für die Einstellung?

Netzwerk Log zeigt "0: (Root)" und "-1: (Kernel)" an.
Eine Einstellung für "0...." und "-11....." habe ich nicht gefunden.



Edit2:

Folgende Samsung Apps (Beispielhaft) werden nach der erneuten (jetzt erweiterten) Einstellung von Netzwerk Log nicht mehr mit Internet verbunden:

- ChatON
- Music Hub
- Video Hub
- S Suggest

 

[ooo]

@zcover

Z. B. so:
https://www.google.de/search?q=init.d+Samsung+Xcover+2+GT-S7710
https://www.google.de/search?q=android+rom+start+script+init.d&source=lnt&te&lr=lang_de
https://www.android-hilfe.de/forum/...-use-init-d-support-sony-tablet-s.205375.html

wie finde ich heraus ob mein ROM eine init.d Unterstützung hat?

___

Dann nimm "-1 (Kernel)".

Root und Kernel finde ich bei AFWall+, "0: (Root)" und "-11: (Kernel)" jedoch nicht. Wo finde ich das richtig für die Einstellung?

___

Prima.

Folgende Samsung Apps (Beispielhaft) werden nach der erneuten (jetzt erweiterten) Einstellung von Netzwerk Log nicht mehr mit Internet verbunden:

- Music Hub
- Video Hub
- S Suggest

 

[zcover]

Hallo ooo,

Du schreibst:

3.2.1. Firewall installieren und einrichten

DNS-Proxy > DNS über netd deaktivieren (Nicht vergessen: Dann später auch im jeweiligen Profil bei "0: (Root)" und "-11: (Kernel)" den oder die Haken setzen)

Warum ist dieser Schritt von dir empfohlen?
Welche Überlegung steckt dahinter?

https://www.android-hilfe.de/forum/...t-geht-afwall.611866-page-2.html#post-8253402

@ooo: bei Afwall: durch das deaktivieren des DNS Proxy(DNS via netd) läuft mein Firefox-Browser jetzt viel schneller als vorher.

Wie ist der Geschwindigkeitsvorteil durch das deaktivieren des DNS Proxy zu erklären?
Ein DNS Proxy soll doch die Geschwindigkeit verbessern, das war bisher mein Kenntnisstand.

Zuerst habe ich gedacht, ganz einfach dein Eingangsposting, jetzt umso mehr ich mich damit beschäftige sehe wie viele Wissenlücken ich habe um Android sicher bedienen zu können. So richtige Apps habe ich fast gar nicht, dafür ist mein Androide voll mit Administrationsapps und Bloatware von Samsung, die ich gar nicht benötige. Android betrachte ich mit zunehmender Auseinandersetzung immer kritischer.

Beste Grüße

zcover

 

[ooo]

@zcover

Okay, jetzt sind wir wieder ganz am Anfang.

Das Deaktivieren des netd-Daemons machst du, damit die Firewall auf den Traffic zu "0 root" und "-1 Kernel" reagieren kann. - Dann erst machen die Haken (oder das Entfernen der Haken zum Blockieren) bei "0 root" und "-1 Kernel" Sinn. - Sonst haben diese Haken absolut keinen Effekt.

Warum?
Wenn der netd-Daemon auf "automatisch" oder "aktiviert" steht, dann sieht die AFWall+ Firewall den Traffic zu "0 root " und "-1 Kernel" überhaupt nicht und kann ihn auch nicht blockieren (wenn keine Haken gesetzt sind). - Es fließen dann immer irgendwelche Daten. - Wir wollen aber die Möglichkeit haben, den gesamten Traffic zu blockieren.

[...] Warum ist dieser Schritt von dir empfohlen?
Welche Überlegung steckt dahinter?[...]

___

Ich denke eher nicht, dass das die Ursache bei ihm war.

• Evtl. ist der Firefox-Browser schneller, weil dieser nur noch seinen eigenen Cache benutzt (k. A.)?
• Oder er hat seine Einstellungen sauberer vorgenommen
• Oder sein Internet war zufällig gerade schneller wie vorher (Mobil/W-LAN etc.)
• Oder er hatte erst keine Seiten im Cache, dann aber schon
• Oder er hat den AdAway-Werbeblocker inzwischen installiert, was einen Geschwindigkeits-Zuwachs ergibt
• Oder ein Mix aus allen Gründen
• Oder etwas ganz anderes

[...]Wie ist der Geschwindigkeitsvorteil durch das deaktivieren des DNS Proxy zu erklären?
Ein DNS Proxy soll doch die Geschwindigkeit verbessern, das war bisher mein Kenntnisstand.[...]

___

Kritisches Betrachten ist immer gut. - Allerdings sehe ich bei dir das Problem eher nicht bei Android. - Eher mit Netzwerk(-Protokoll)-Verständnis und GNU/Linux-Basics (Kernel/iptables). - Wir sind ja nicht mit Android am Herum-laborieren sondern mit dem OS-Kern und das ist noch nicht Android (Okay, aus deiner Sicht vllt. schon ...).

Evtl. wäre ja für dich ein iPhone oder ein Windows-Phone die bessere Wahl?
Das Problem hierbei ist dann aber, dass man dabei dann nur sehr eingeschränkte Eingriffsmöglichkeiten hat.

[...] Android betrachte ich mit zunehmender Auseinandersetzung immer kritischer. [...]

 

[zcover]

Evtl. wäre ja für dich ein iPhone oder ein Windows-Phone die bessere Wahl?

Hallo ooo,

nein ist es nicht. Ein iPhone ist mir peinlich, Windows mag ich nicht und ein gutes Linux Phone gibt es nicht. Lieber Android entsprechend den eigenen Bedürfnissen anpassen.

Das Deaktivieren des netd-Daemons machst du, damit die Firewall auf den Traffic zu "0 root" und "-1 Kernel" reagieren kann. - Dann erst machen die Haken (oder das Entfernen der Haken zum Blockieren) bei "0 root" und "-1 Kernel" Sinn. - Sonst haben diese Haken absolut keinen Effekt.

Warum?
Wenn der netd-Daemon auf "automatisch" oder "aktiviert" steht, dann sieht die AFWall+ Firewall den Traffic zu "0 root " und "-1 Kernel" überhaupt nicht und kann ihn auch nicht blockieren (wenn keine Haken gesetzt sind). - Es fließen dann immer irgendwelche Daten. - Wir wollen aber die Möglichkeit haben, den gesamten Traffic zu blockieren.

Das wußte ich vorher nicht, da hatte ich nur nachgemacht bzw. abgearbeitet.

Dank deines Postings- und deiner Erklärungen läuft mein Android so wie gewünscht. Danke dafür. Nur fallen mir meine Wissenslücken immer mehr auf, die ich jetzt schließen möchte.
Jedesmal, wenn ich dein Eingangsposting durchlese fallen mir mehr Betrachtungen ein.
Das Wissen ist dort sehr gebündelt. Ich wundere mich dass Du nicht mehr Rückfragen hast und das Posting nicht mehr Beachtung findet.

Wie würdest Du ein Android Smartphone, das ich dir in die Hand gebe testen ob es deinem Sicherheitsanspruch genügen würde?
Welche Liste arbeitest Du ab?

Beste Grüße

zcover

 

[ooo]

Wie würde ich testen?

Ich verbinde das Phone so mit einem internen W-LAN, dass ich mit WireShark den Traffic mitschneiden und bewerten kann. - Das ganze einmal so, wie es von Haus aus kommt und ein weiteres Mal, nachdem ich alle zur Verfügung stehenden Sicherheitsfunktionen aktiviert habe.

Mit nmap kann man nachsehen, ob und welche Ports evtl. offen sind (i. d. R. keine). - Es ist ein weites und komplexes Feld.

Apps, die zuviele (kritische) Rechte verlangen, kommen nicht auf das Phone. Insbesondere Apps, die ich nicht im Source-Code vorliegen habe. - Das Letztere ist für den Normal-Anwender natürlich zweitrangig, da hierzu wieder Android-/Java-/C- und andere Entwickler-Kenntnisse benötigt werden.

Für den Hausgebrauch: Wenn ich einer App nicht über den Weg traue, lasse ich sie links liegen, egal, wie attraktiv (Nutzen) sie sonst ist.

Du hast ja bereits die App Netzwerk Log kennengelernt.

Was man hier braucht, ist einfach das Wissen, wohin (IP/Domäne) das Phone will, wer sich dahinter verbirgt (Firma/Developer/dubiose(?) Cloud-Adresse), um dann eine subjektive Einstufung dieses Traffics vorzunehmen (Warum will die App zu dieser Adresse?, Werden die Daten verschlüsselt übertragen?, Welche Daten werden dorthin gesendet?, Gibt es einen vernünftigen Grund dafür?, Will ich das überhaupt?).

Verbindungen zu Werbe-Domains, Flurry (u. a. App Developer Analytics), Google (Analytics etc.) oder Facebook/WhatsApp, Twitter usw. sind schon mal per se schlecht. - Diese kann man aber mit AdAway weitgehend unterbinden.

Der ROM-Firmware selbst (bzw. bei Custom ROMs, dem persönlich unbekannten Developer) muss man vertrauen oder, falls es den Source-Code gibt, selbst nachsehen. - Das ist viel Arbeit. - Die proprietären Hersteller-spezifischen Treiber oder auch das Baseband (Verbindungs-Element zwischen Telefon-Chip/Modem und dem Betriebssystem/den Apps) kann man ohne weiteres nicht überprüfen, da die Hersteller i. d. R. keine Sourcen herausrücken. - Das ist aber bei allen so.

Der beste Weg ist es, sich die Sourcen zu schnappen und sich eine eigene ROM zu kompilieren und sich auch eigene Apps zu programmieren. - An diesen Themen arbeite ich momentan, habe aber auch so meine Probleme ...
___

Wenig Rückfragen? - Ja.

Das liegt m. M. n. daran, dass Sicherheit nicht "sexy" und nicht Publikums-wirksam ist, relativ viel Hintergrund-Wissen erfordert und (dadurch) viel Arbeit macht (Generation "Too-lazy-to-care" oder Generation "Fast-foreign-solution-without-own-effort" oder Generation "One-click-button-for-dumb-people" oder einfach nur Generation "Helpless", ich weiß es nicht wirklich ...).

Allerdings gibt es genug Hits auf das Start-Posting (in der Thread-Übersicht; evtl. wollen die Leute es einfach nicht zugeben, dass sie da eine Lücke haben, warum auch immer. - Ich würde gerne die Gesichter sehen, wenn das Start-Posting geöffnet wird und es beim Scrollen immer länger und länger wird ... Reaktion: Öhhh, nee du, lass mal, besser noch'n Movie auf YouTube reinziehen ... :-D

___

[...] Ich wundere mich dass Du nicht mehr Rückfragen hast und das Posting nicht mehr Beachtung findet.

Wie würdest Du ein Android Smartphone, das ich dir in die Hand gebe testen ob es deinem Sicherheitsanspruch genügen würde?
Welche Liste arbeitest Du ab? [...]

 

[an0n]

@zcover: die Samsung-Apps (z.B. Music Hub,Video Hub, S Suggest,) sind Bloatware die man am besten löschen sollte. Ich würde empfehlen eine AOSP-Rom zu installieren (zum Beispiel OmniRom oder SlimRom). Ich selber benutze SlimRom, da sind so gut wie keine Bloatware-Apps drin und man hat alle Funktionen die man braucht. Selber nach unnötigen Bloatwareapps zu suchen und zu löschen wäre viel Arbeit falls man sich nicht mit System-Apps auskennt. Um Apps runterzuladen zu können, sollte man sich nicht gleich die Google-Apps-Sammlung installieren, man kann die Apps auch von &quot;apps.evozi.com&quot; runterladen oder von &quot;f-droid.org&quot;, das ausschliesslich opensource-apps anbietet.

ooo= Das liegt m. M. n. daran, dass Sicherheit nicht &quot;sexy&quot; und nicht Publikums-wirksam ist, relativ viel Hintergrund-Wissen erfordert und (dadurch) viel Arbeit macht (Generation &quot;Too-lazy-to-care&quot; oder Generation &quot;Fast-foreign-solution-without-own-effort&quot; oder Generation &quot;One-click-button-for-dumb-people&quot; oder einfach nur Generation &quot;Helpless&quot;, ich weiß es nicht wirklich ...).

Ich würde sagen, die meisten sehen keinen Nachteil das Unternehmen wie z.B. google, facebook, whatsapp ihre Daten sammel - im Gegenteil, wer die eine app zum kommunizieren nicht hat, das die meisten benutzen, wird oft gesellschaftlich ausgeschlossen. Die Möglichkeiten die ein Unternehmen mit solchen Daten anfangen kann sind unbegrenzt, man weiss wo und wann bzw. auf welcher Strasse sich jemand aufhält, was derjenige aktuell macht, man kennt alle seine Bekannten, man kennt die Kreditkartendaten, Emails, Passwörter, usw, die Liste ist unendlich lang. Wenn sich jemand mit diesen Infos dafür entscheidet denjenigen z.B. auszurauben, hat dafür alle Informationen um dies auch umsetzen zu können und das wird auch oft gemacht, wobei die cyberkriminalitet unter windows noch weit vor der unter android os liegt. dafür werden aber vielmehr private daten unter android übertragen als unter windows. am ende landen die daten immer bei den Gehaimdiensten, die unbequeme Personen verschwinden lassen. snovvden soll mal gesagt haben: man wird heute nicht von irgendwelchen Leuten observiert, denn das Observierungsgerät trägt man immer bei sich.

 

[zcover]

Hallo an0an,

Omnirom oder Slimrom wird für mein Samsung Xcover 2 GT-S7710 leider nicht angeboten.

&quot;&quot;apps.evozi.com&quot; runterladen oder von &quot;f-droid.org&quot;&quot; runterladen oder von &quot;f-droid.org&quot;

Kannst Du das bitte entschlüsseln?

Mit ist bekannt:
- https://f-droid.org/
- http://apps.evozi.com/apk-downloader/

Beste Grüße
zcover

 

[an0n]

@zcover: Du hast es richtig entschlüsselt. Wenn ich Anführungszeichen eingebe, dann wird es irgendwie in html-schreibweise umgewandelt. Wird für dein Gerät auch Cyanogenmod angeboten? Falls nicht, dann schau mal im Web nach apps-safe-to-remove für dein Phone oder OS, da kannst du checken welche app man benötigt und welche nicht.

Ich hab inzwischen Afwall-Firewall und OpenDNS bei mir erfolgreich eingestellt: so sieht mein Afwall Custom-Script aus:

#!/system/bin/sh  

IP6TABLES=/system/bin/ip6tables 
IPTABLES=/system/bin/iptables  

$IPTABLES -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 208.67.222.222:53 
$IPTABLES -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.222.222:53

so sollten die Minimum Einstellungen für Afwall aussehen (für Internetzugriff, Telefonieren und Simsen), meine Thirdparty Apps hab ich unkenntlich gemacht, damit es übersichtlich ist:

So sind die Afwall Preference-Einstellungen bei mir:

 

[ooo]

@an0n: Sieht soweit ganz gut aus.

Tipps:

Falls es keine Absicht ist: Wenn du SMS/MMS auch empfangen möchtest, wenn du W-LAN an hast, dann musst du auch in der 2. Spalte einen Haken setzen bei SMS/MMS und Telefon. - Mobile Daten (auch Roaming) werden bei aktiver W-LAN-Verbindung vom Phone nicht benutzt, da es langsamer und evtl. teurer ist.

Wenn du unterschiedliche App-Gruppen unterwegs und zuhause in das Internet lassen möchtest, dann solltest du dir 2 Profile anlegen.

Ich lasse beispielsweise unterwegs (Mobile Daten, nur Haken in Spalte 3; evtl. auch 4 = Roaming) nur Mail und Browser zu. - Das ist bei mir "Profil 2".

Und zuhause (im W-LAN, nur Haken in Spalte 2) sehr viel mehr Apps. - Das ist "Profil 1".

Das Standard-Profil ist dann dazu da, um schnell alle Verbindungen blockieren können.

Die App hat zwei Widgets für den Homescreen dabei, mit der man leicht die Profile umschalten kann.

Durch das Umschalten des Profils werden auf diese Weise unterwegs einige Apps nicht mehr ins Internet gelassen. - Ich find's bequem ...

 

[an0n]

Ok, hab jetzt für SMS/MMS die WLAN-Berechtigung eingestellt. Das mit den Profilen ist nicht so meine Sache, ich setzte für die Apps, die ich vertraue einmal eine Berechtigungen und belasse es dabei, egal ob für zuhause oder sonstwo, sonst komme ich noch durcheinander.

 

[zcover]

Hallo an0n,

ooo gibt folgendes vor:

Jetzt Profil "Standard" aktivieren (es wird dann alles blockiert, weitere Profile für z. B. "W-LAN" oder "3G" können später eingerichtet werden.)
App wieder schließen

Im Menü der Firewall unter Punkt "Skript festlegen" im ersten Feld die folgende Zeile eingeben (ohne Enter/Return, Groß- und Kleinschreibung exakt beachten):

Hinweis: Wenn man mit mehreren Profilen arbeitet, dann muss man diese Einstellung in jedem der Pofile vornehmen. - Um dies für ein bestimmtes Profil durchzuführen, muss das Profil aktiviert sein.

Code:

iptables -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.222.222:53
Dann mit [ OK ] bestätigen.

Diese Zeile bewirkt, dass alle DNS-Anfragen immer auf einen OpenDNS-Server gemacht werden. - Erklärung: siehe ganz unten zu Punkt 5. im Text. - Stichworte: Tracking/Profiling/Blocking/Redirection von Google und ISPs.

an0n, verwendet folgends script:

#!/system/bin/sh

IP6TABLES=/system/bin/ip6tables
IPTABLES=/system/bin/iptables

$IPTABLES -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 208.67.222.222:53
$IPTABLES -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.222.222:53

Wie erklärt sich der Zusammenhang?
Wird das Script von an0n durch AFWall+ automatisch erstellt?
Wo finde ich das an0n Script?

@ooo
Wer es nicht schöner für jeden Abschnitt eine eigenes Posting im Anfangspost zu erstellen?
Dann kann man den Teil den, man gerade durcharbeitet direkt anklicken. So muss man immer so viel scrollen.


Beste Grüße
zcover

 

[an0n]

@zcover: Ich hab das Skript von Infos zum Teil aus einem Thread aus dem xda-forum und zum Teil aus dem offiziellen Afwall-Entwickler-Seite erstellt.
Hier ist der Link: https://github.com/ukanth/afwall/wiki/CustomScripts

Die erste Zeile wird normalerweise bei Androis-Scripts immer hingeschrieben(wenn man zum Beispiel ein Script über die Recovery ausführt), man kann das aber für Afwall weglassen, ich habs einfach mit hingeschrieben:

 #!/system/bin/sh

Das hier wird in den Afwall Custom-Scripts oft hingeschrieben, ich habs deswegen auch hinzugefügt, wahrscheinlich ist es aber nicht nötig für OpenDNS, vom Afwall-Entwickler wird es aber empfohlen, das immer bei einem Script anzugeben:

IP6TABLES=/system/bin/ip6tables 
IPTABLES=/system/bin/iptables

Ich hab für UDP- als auch für TCP-Verbindungen eine OpenDNS-Verbindung eingestellt. Alle UDP-Verbindungen gehen über OpenDNS.
Mir ist jedoch aufgefallen, dass die meisten TCP-Verbindungen nicht über OpenDNS gehen. Eben hab ich gelesen, dass es für TCP-Verbindungen unterschiedliche Ports gibt. Bin mir nicht sicher ob ich die auch über OpenDNS einstellen kann.