Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

[ooo]

Neue Postings kann man als Thread-Ersteller oder Beitrags-Ersteller nicht einfügen, um z. B. ein Posting in mehrere aufeinander folgende aufzusplitten. - Nur neue am Ende des Threads anhängen.

Evtl. werde ich die Abschnitte in Spoiler-Buttons packen. - Besonders für die Smartphone-/Tapatalk-Freunde.

Man kann z. B. Tabs im Browser und/oder mehrere Browser-Fenster mit unterschiedlichen Text-Positionen im Start-Posting öffnen, die man dann auch neben- oder untereinander am Monitor plazieren kann.

Hat man z. B. 2 oder 3 (identische) Monitore nebeneinander, die eine einzige Arbeitsfläche bilden (Dokumentation/Recherche, Monitoring/Kommuniktion, Entwicklung/Administration), kann man so noch effektiver an Themen arbeiten. - Das löst das Problem an sich aber auch nicht, okay.

[...] Wer es nicht schöner für jeden Abschnitt eine eigenes Posting im Anfangspost zu erstellen? [...]

___



Das mit OpenDNS kläre ich mal versuchsweise:

Es gibt das Protokoll TCP und das Protokoll UDP.
DNS-Anfragen können sowohl über TCP als auch UDP gemacht werden.
Die Regel ist, dies über UDP zu tun.

Für jedes dieser Protokolle wurden (maximal) 65.535 Ports definiert (0 bis 65.535; 0 ist reseviert). - Portliste zum Nachsehen

Nur nebenbei:
Es gibt also grundsätzliche 2 x 65.535 offene Türen raus und ebenso viele rein ... die macht man besser größtenteils zu.
(Die rein gehen, sind bei Android bereits von außen zu = Die Hälfte ist "abgeräumt".)

OpenDNS ist ein Dienst (DNS) der auf Port 53 (UDP) erreichbar ist.
Jede App, die irgendwohin will (IP), um einen bestimmten Server zu erreichen (Port), wird erst bei OpenDNS nachfragen, wie die IP-Adresse ist.
Den Port kennt die App bereits (im Code fix einprogrammiert), weil er standardisiert ist oder in den Einstellungen der App eingetragen/geändert werden kann.

Alle Anfragen "Wie ist die IP zur Domain <beliebige-domain.xyz>?" werden vom Phone (bei unseren Einstellungen) zu OpenDNS gemacht.
Das erledigt bei uns "0: root" (Der Mechanismus dazu heißt "DNS Resolver)", wie man im Protokoll der App "Netzwerk Log" feststellen kann (208.67.222.222:53 (UDP)).
Das sind nur die Anfragen der Apps (Mail, Browser, WhatsApp, Facebook, Tapatalk, YouTube etc.), wohin sie müssen.
Sonst nichts.
Erst der "echte" Traffic der App mit dem Ziel ("GMail holt/sendet Mails beim/zum Google-Server") wird dann unter der App im Netzwerk Log Protokoll selbst vermerkt.


Metapher "Telefonauskunft" (zu DNS-Anfragen):

Eine IP ist die Haupt-Telefon-Nummer (OpenDNS-Server: IP 208.67.222.222)

Ein Port ist dann die "Nebenstelle" (Dienst DNS: Port 53)

Die komplette "Telefon-Nummer" ("Durchwahl"), um den "Typ" (den DNS-Server-Dienst) am anderen Ende der Leitung zu fragen, welche IP die Domäne android-hilfe.de hat, wäre dann:

208.67.222.222:53

(das geht über das UDP-Protokoll und/oder TCP, je nachdem, was angeboten wird)

Das Phone kennt aber die benötigte Telefon-Nummer nicht, sondern erstmal nur den "Teilnehmer-Namen". - Das ist eine Domain ("youtube.com").


Beispiel 1: Eine Seite im Web-Browser des Phones öffnen:

Spoiler

Android-Hilfe hat einen Web-Server mit diesem Forum hier auf TCP-Port 80 (http) am Laufen.

Wenn ihr jetzt die Domäne android-hilfe.de im Browser eintippt, dann wird das Phone bei 208.67.222.222:53 eine DNS-Anfrage machen (Telefonauskunft: Wie ist die Nr. des Teilnehmers android-hilfe.de?)
Antwort für den Browser 212.72.171.241:80 (Port 80 TCP = HTTP - Web-Server)

Das, was das Phone dabei tut, kann man nachstellen (z. B. Linux-Rechner):

Mit dem Befehl dig

fragt man den DNS-Server bei OpenDNS @208.67.222.222
nach der (einer) IP von android-hilfe.de (Wir wollen im Browser die Webseite von android-hilfe.de öffnen)

Antwort: Erreichbar unter 212.72.171.241

Diese Anfragen sind alle in der App "Netzwerk Log" mit Port 53 Protokoll udp zu sehen.

Das Phone benutzt dann die vollständige "Telefon-Nummer" 212.72.171.241:80 (Port 80 = HTTP-Protokoll = Web-Server von Android-Hilfe), um die Webseite im Browser zu öffnen (Der Browser benutzt dabei das TCP-Protokoll, wie man in der App "Netzwerk Log" im Log zur App Browser feststellen kann).

terminal@linux # your command? [B] dig @208.67.222.222 [COLOR=SeaGreen]android-hilfe.de[/COLOR] any[/B]

dig @208.67.222.222 android-hilfe.de any

; <<>> DiG 9.8.1-P1 <<>> @208.67.222.222 android-hilfe.de any
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20675
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;android-hilfe.de.        IN    ANY

;; ANSWER SECTION:
[COLOR=Green][B]android-hilfe.de[/B][/COLOR].    27    IN    A    [COLOR=Red][B]212.72.171.241[/B][/COLOR]
android-hilfe.de.    1535    IN    MX    10 mail.android-hilfe.de.
android-hilfe.de.    81637    IN    NS    dns.dns1.de.
android-hilfe.de.    81637    IN    NS    dns.dns2.de.
android-hilfe.de.    81637    IN    NS    dns.dns3.de.
android-hilfe.de.    27    IN    SOA    dns.dns1.de. hostmaster.internetwire.de. 2012111903 28800 7200 604800 300


;; Query time: 37 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Sun Nov  9 01:54:38 2014
;; MSG SIZE  rcvd: 63

Das Phone macht also nichts anderes, als dauernd bei der "Auskunft" OpenDNS ins Internet-"Telefonbuch" zu sehen (die Auskunft anzurufen), um nach Telefon-Nummern (IPs) für Teilnehmer (Domänen) zu fragen, damit es diese erreichen kann. - Die Ports "weiß" das Phone, weil diese standardisiert (Liste) sind (bzw. die Apps das wissen, die die Verbindungen machen möchten.).

Beispiele (kann man sich merken, muss es aber nicht ...):

80 (HTTP - Webserver)
443 (HTTPS - Webserver, verschlüsselt)
53 (DNS - Anfragen zur Domänen-Auflösung in IPs, unverschlüsselt)
143 (IMAP - Mails holen, unverschlüsslet)
993 (IMAPS - Mails holen, verschlüsselt)
25 (SMTP - Mails senden, unverschlüsselt)
465 (SMTPS - Mails senden, verschlüsselt)
587 (SMTPS - Mails senden, verschlüsselt)

Beispiel 2: Google-Mails synchronisieren:

Spoiler

Das selbe passiert, wenn man seine Mails senden oder lesen möchte:

Schritt 1: Bei OpenDNS ("Telefon-Auskunft") nach einer IP-Adresse für gmail.com fragen:

Das Phone kennt die IP von gmail.com nicht (wenn man Google-Mail benutzt), weiß aber, das es bei OpenDNS ("Telefon-Auskunft") fragen kann:

Wir machen das, was das Phone im Hintergrund tut mal wieder mit einer Linux Box nach:

Mit dem Befehl dig

fragt man den DNS-Server bei OpenDNS @208.67.222.222
nach der (einer) IP von gmail.com
nach allen Einträgen any

Antwort: Erreichbar unter den Domänen die ein MX (das sind die Einträge für Google's Mail-Server) in der Zeile haben:

terminal@linux # your command?[B] dig @208.67.222.222 [COLOR=Green]gmail.com[/COLOR] any[/B]

; <<>> DiG 9.8.1-P1 <<>> @208.67.222.222 gmail.com any
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58323
;; flags: qr rd ra; QUERY: 1, ANSWER: 14, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;gmail.com.            IN    ANY

;; ANSWER SECTION:
gmail.com.        300    IN    A    [B]173.194.116.214[/B]
gmail.com.        300    IN    A    [B]173.194.116.213[/B]
gmail.com.        300    IN    AAAA    2a00:1450:4001:80f::1016
gmail.com.        86400    IN    SOA    ns1.google.com. dns-admin.google.com. 2012061200 21600 3600 1209600 300
gmail.com.        345600    IN    NS    ns1.google.com.
gmail.com.        345600    IN    NS    ns2.google.com.
[COLOR=SeaGreen][COLOR=Black]gmail.com.        345600    IN    NS    ns4.google.com.
gmail.com.        345600    IN    NS    ns3.google.com.
[/COLOR][/COLOR][B][COLOR=SeaGreen][COLOR=Black][B][B][B][B]gmail.com.        3600    IN    MX    40 alt4.gmail-smtp-in.l.google.com.[/B]
gmail.com.        3600    IN    MX    30 alt3.gmail-smtp-in.l.google.com.[/B]
gmail.com.        3600    IN    MX    20 alt2.gmail-smtp-in.l.google.com.[/B]
gmail.com.        3600    IN    MX    10 alt1.gmail-smtp-in.l.google.com.[/B]
[/COLOR]gmail.com.        3600    IN    [COLOR=Red]MX    5[/COLOR] gmail-smtp-in.l.google.com[/COLOR].[/B]
gmail.com.        300    IN    TXT    "v=spf1 redirect=_spf.google.com"

;; Query time: 38 msec
;; [B]SERVER: 208.67.222.222#53(208.67.222.222)[/B]
;; WHEN: Sun Nov  9 01:48:00 2014
;; MSG SIZE  rcvd: 92

Schritt 2: IP-Adresse eines Google Mail-Servers zum VERSENDEN von Mails finden

Jetzt sucht sich das Phone der Reihe nach die MX-Domains (der verfügbaren Mail-Server) aus der ersten Anfrage und fragt wieder OpenDNS nach einer IP-Adresse.

(Die mit dem kleinsten Zahlen-Wert hinter MX wird als erstes probiert. = höchste Priorität.)

Wir machen das, was das Phone im Hintergrund tut, wieder mit einer Linux Box nach:

terminal@linux # your command?[B] dig @208.67.222.222 [COLOR=SeaGreen]gmail-smtp-in.l.google.com[/COLOR][/B]

; <<>> DiG 9.8.1-P1 <<>> @208.67.222.222 gmail-smtp-in.l.google.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51946
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;gmail-smtp-in.l.google.com.    IN    A

;; ANSWER SECTION:
[COLOR=SeaGreen][B]gmail-smtp-in.l.google.com[/B][/COLOR]. 300    IN    A    [COLOR=Red][B]74.125.136.26[/B][/COLOR]

;; Query time: 41 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Sun Nov  9 05:07:06 2014
;; MSG SIZE  rcvd: 60

Der "Typ" (der Mail-Server), der für für das Versenden unserer Mails verantwortlich ist, kann unter einer der "Nebenstellen-Nummer" 587 (Port) oder 465 (Port) oder 25 (Port) für das SMTP/SMTPS-Protokoll erreicht werden.

Das Phone wird dann 74.125.136.26:587 (Port 587 = SMTP-Protokoll, verschlüsselt) "anrufen", um die Mails zu senden (alternativ Ports 25, 465).
Benutzt man (Google's) Web-Mail läuft das immer über Port 443 (HTTPS) verschlüsselt ab, wie im Browser auch, klar.
(Das läuft wieder unter TCP, siehe "Netzwerk Log" App.)


Schritt 3: IP-Adresse eines Google Mail-Servers zum EMPFANGEN von Mails finden

Jetzt sucht sich das Phone einen IMAP-Server fragt wieder OpenDNS nach einer IP-Adresse.

(Das Phone kennt die Domäne des IMAP-Servers, z. B. imap.gmail.com, weil die in der Mail-App eingetragen ist. - Das gleiche kann man auch für den SMTP-Server sagen, über den Mails versendet werden.)

Wir machen es wieder mit einer Linux Box nach:

terminal@linux # your command?[B] dig @208.67.222.222 [COLOR=SeaGreen]imap.gmail.com[/COLOR][/B]

; <<>> DiG 9.8.1-P1 <<>> @208.67.222.222 imap.gmail.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30620
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;imap.gmail.com.            IN    A

;; ANSWER SECTION:
imap.gmail.com.        300    IN    CNAME    gmail-imap.l.google.com.
[COLOR=SeaGreen][B]gmail-imap.l.google.com[/B][/COLOR]. 300    IN    A    [COLOR=Red][B]173.194.65.108[/B][/COLOR]
gmail-imap.l.google.com. 300    IN    A    [B]173.194.65.109[/B]

;; Query time: 88 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Sun Nov  9 05:24:39 2014
;; MSG SIZE  rcvd: 98

Der "Typ", der dort für das Empfangen von Mails verantwortlich ist, kann unter der "Nebenstellen-Nummer" 993 (Port des Mail-Servers für den Empfang von Mails) erreicht werden.

Das Phone wird dann 173.194.65.108:993 (Port 993 = IMAP-Protokoll, verschlüsselt) "anrufen", um die Mails zu senden.
Benutzt man (Google's) Web-Mail läuft das immer über Port 443 (HTTPS) verschlüsselt ab, wie im Browser auch, klar.
(Das läuft wieder unter TCP, siehe "Netzwerk Log" App.)

___

IP6TABLES=/system/bin/ip6tables

ist bei deinem Script nicht nötig, da alle deine Regeln nur mit IPTABLES verwendet werden. - Auch hast du in den Einstellungen von AFWall+ bei "IPv6-Unterstützung" den Haken nicht gesetzt, was die gesamten ip6tables rule sets deaktiviert - also die Verwaltung der IPv6-Regeln. - (Wenn es nicht geht und die AFWall+ dabei Fehler ausgibt, dann kann die ROM kein IPv6 = gut; Wenn es ginge, dann müsste man alle eigenen Regeln im Script verdoppeln für IPTABLES = ... und IP6TABLES = ... und man müsste IPv6-IP-Adressen benutzen - die sind viel länger und anders aufgebaut.).

IPTABLES ist eine Variable im Script, die einfach nur den physikalischen Pfad zum iptables Programm (binary) enthält. - Diese binary ist für IPv4 zuständig (/system/bin/iptables).

IP6TABLES (bzw. der Inhalt der Shell-Script-Variablen) ist das entsprechende Programm für IPv6 (/system/bin/ip6tables; Nachschauen: ist es dort in der ROM?). - Aktuell wird IPv6 kaum eingesetzt. - Deswegen sieht man auf der Entwicklerseite auch fast keine Regeln für IPv6 in den Beispielen.

(Dann ist auch die Frage, ob ein Smartphone - also die ROM - überhaupt IPv6 "spricht" bzw., ob IPv6 nicht sowieso deaktiviert/geblockt ist.)

SSH Verbindung auf ein Motorola Defy (MB525) und Suche nach Spuren von IPv6:

Beide binaries sind vorhanden ...

which fragt, wo das Programm <X> im Dateisystem liegt, wenn es nicht gefunden wird, wird nichts ausgegeben.:

root@mb526 /system/etc # [B]which iptables[/B]
/system/bin/iptables

root@mb526 /system/etc # [B]which ip6tables[/B]
/system/bin/ip6tables

root@mb526 /system/etc #

... aber IPv6 ist komplett deaktiviert (= gut)

Mit grep durchsuchen wir alle Dateien (*) im aktuellen Verzeichnis (/system/etc/) nach dem Text "ipv6" - Groß-/Kleinschreibung egal (-i).
Am Anfang der Ergebnis-Liste steht für jede Zeile, in der etwas gefunden wurde, der Dateiname der Fundstelle.

root@mb526 [COLOR=Red][B]/system/etc[/B][/COLOR] # [I][B]grep -i ipv6 *[/B][/I]

[B]apns-conf.xml[/B]:  <apn carrier="Telenor" mcc="242" mnc="01"  apn="telenor.mobil" mmsc="http://mmsc/" mmsproxy="10.10.10.11"  mmsport="8080" type="default,supl,mms" protocol="IPV6"  roaming_protocol="IPV6" />
apns-conf.xml:  <apn carrier="T-Mobile US LTE IPv6" mcc="310"  mnc="260" apn="fast.t-mobile.com" user="none" password="none" server="*"  mmsc="http://mms.msg.eng.t-mobile.com/mms/wapenc"  type="default,supl,mms" protocol="IPV6" />
[...]
[B]clatd.conf[/B]:ipv6_host_id ::464
clatd.conf:# ipv6 extra link local address for the ip6 iface.
clatd.conf:ipv6_local_address fe80::c000:0004
[...]
[COLOR=Red][B]sysctl.conf[/B][/COLOR]:net.ipv6.conf.all.accept_dad=0
sysctl.conf:net.ipv6.conf.all.dad_transmits=0
sysctl.conf:net.ipv6.conf.all.use_tempaddr=0
sysctl.conf:net.ipv6.conf.default.accept_dad=0
sysctl.conf:net.ipv6.conf.default.dad_transmits=0
sysctl.conf:net.ipv6.conf.default.use_tempaddr=0
sysctl.conf:net.ipv6.conf.[B]default.[COLOR=Red]disable_ipv6[/COLOR]=1[/B]
sysctl.conf:net.ipv6.conf.[B]all.disable_ipv6=1[/B]
sysctl.conf:net.ipv6.conf.[B]lo.disable_ipv6=1[/B]

root@mb526 [B]/system/etc[/B] #

___

Die Zeile(n) in den AFWall+ Einstellungen in den Feldern für die Start- und Stop-Scripte werden von AFWall+ gesourcet (source oder dot "." command, siehe Dokumentation Shell Scripting; z. B. zu Linux man bash).

Deswegen ist die Shebang-Zeile (#!/system/bin/sh), die auf die auszuführende Shell verweist, hier eher unnötig.

Wenn man ein solches Script als eigene Datei im Terminal (Android Terminal Emulator oder einer adb shell oder über ssh) manuell ausführen möchte, dann macht die Shebang-Zeile wieder Sinn. - Innerhalb von AFWall+ eher nicht.

_

Auszug Linux man bash

Syntax:

. filename [arguments]
source filename [arguments]

Description:

Read and execute commands from filename in the current shell environment and return the exit status of used to find the directory containing filename. The file searched for in PATH need not be executable. Tthe last command executed from filename. If filename does not contain a slash, file names in PATH are. When bash is not in posix mode, the current directory is searched if no file is found in PATH. If the sourcepath option to the shopt builtin command is turned off, the PATH is not searched. If any arguments are supplied, they become the positional parameters when filename is executed. Otherwise the positional parameters are unchanged. The return status is the status of the last command exited within the script (0 if no commands are executed), and false if filename is not found or cannot be read.

[...] wahrscheinlich ist es aber nicht nötig für OpenDNS, vom Afwall-Entwickler wird es aber empfohlen, das immer bei einem Script anzugeben:

IP6TABLES=/system/bin/ip6tables 
IPTABLES=/system/bin/iptables

[...] Alle UDP-Verbindungen gehen über OpenDNS.
Mir ist jedoch aufgefallen, dass die meisten TCP-Verbindungen nicht über OpenDNS gehen. Eben hab ich gelesen, dass es für TCP-Verbindungen unterschiedliche Ports gibt. Bin mir nicht sicher ob ich die auch über OpenDNS einstellen kann.

 

[zcover]

SSH Verbindung auf ein Motorola Defy (MB525) und Suche nach Spuren von IPv6:

Hallo ooo, danke für die viel Mühe in deinem Kurs Netwerktechnik für unbedarfte.

Welchen SSH Server verwendest Du im Motorola Defy (MB525)?
Wie ist das Standardpasswort für Android Systeme?

Kann man die Übungungen hier auch mit einer VM (Genymotion oder Android x86) auführen?
Macht das Sinn und ist übertragbar auf ein Hardwarsmartphone?

Beste Grüße
zcover

 

[ooo]

Ich habe eine (inoffizielle) Custom ROM CyanogenMod CM 11 KitKat 4.4.4 hier auf dem Defy. - Die CyanogenMod-ROM bringt den SSH-Server mit (OpenSSH_6.4p1, OpenSSL 1.0.1e 11 Feb 2013). - Dieser ist in der ROM im Auslieferungszustand nicht konfiguriert. - Das muss man selbst tun.

Unter Android gibt es kein (Standard-)Passwort bzw. "richtige" User-Accounts, wie in einer Linux-Box. - Das SSH-Login macht man über zuvor generierte Public-/Private-SSH-Key-Pairs (Befehl ssh-keygen). Der Shell-User mit dem man eingeloggt ist, heißt "shell" (hat kaum Rechte, kann mit "su" aber ohne passwort zu "root" werden) oder direkt "root" (volle Rechte), je nachdem, wie man sich das einrichtet.

Genymotion/Android x86 kann man als Emulatoren nehmen.
Es gibt auch noch das Android-SDK (integriert sich in Eclipse) und den zugehörigen Smartphone-Emulator. Für Windows-Boxen gibt es von Intel auch noch eine schnellere Emulation für das Android-SDK.

Befehle, wie dig, whois oder Programme, wie die bash shell, ssh (sshd) etc. muss man sich selbst installieren (evtl. aus den Sourcen kompilieren), wenn eine ROM das nicht mitbringt. - Dabei spielt es keine Rolle, ob die ROM in einer VM oder auf Smartphone-Hardware läuft.

Irgendwelche Übungen kann man erstmal komplett mit VMs machen, ja.

 

[an0n]

OpenDNS ist ein Dienst (DNS) der auf Port 53 (UDP) erreichbar ist.
Jede App, die irgendwohin will (IP), um einen bestimmten Server zu erreichen (Port), wird erst bei OpenDNS nachfragen, wie die IP-Adresse ist.
Den Port kennt die App bereits (im Code fix einprogrammiert), weil er standardisiert ist oder in den Einstellungen der App eingetragen/geändert werden kann.

Alle Anfragen "Wie ist die IP zur Domain <beliebige-domain.xyz>?" werden vom Phone (bei unseren Einstellungen) zu OpenDNS gemacht.
Das erledigt bei uns "0: root" (Der Mechanismus dazu heißt "DNS Resolver)", wie man im Protokoll der App "Netzwerk Log" feststellen kann (208.67.222.222:53 (UDP)).
Das sind nur die Anfragen der Apps (Mail, Browser, WhatsApp, Facebook, Tapatalk, YouTube etc.), wohin sie müssen.
Sonst nichts.
Erst der "echte" Traffic der App mit dem Ziel ("GMail holt/sendet Mails beim/zum Google-Server") wird dann unter der App im Netzwerk Log Protokoll selbst vermerkt.

Ich glaub, ich hab das jetzt verstanden, ging davon aus, dass auch der Traffic über OpenDNS geht, danke für die Infos.

Im Script will ich so stehen lassen, dass auch TCP-Verbindungen über OpenDNS gehen sollen - Störungen für Verbindungen verursacht das jedenfalls nicht.

Den IPv6-Support hab ich in Afwall Prefs bewusst nicht ausgewählt, da ich keine Verbindungen zu IPv6 zulassen will. Ich hab zu meinem Script zusätzlich das hinzugefügt, um IPv6-Verbindungen zu blocken:

# Deny IPv6 only connections  
$IP6TABLES -P INPUT DROP  
$IP6TABLES -P OUTPUT DROP

eventuell werd ich das noch hinzufügen, damit ich ausschliesse unverschlüsselten Mails zu erhalten:

# block sending not-encrypted Mails (Port 25 - SMTP)
$IPTABLES -A "afwall" -p TCP --dport 25 -j "afwall-reject"

# block receiving not-encrypted Mails (Port 143 - IMAP)
$IPTABLES -A "afwall" -p TCP --dport 143 -j "afwall-reject"

macht es Sinn ssh-Verbindungen zu blocken oder ist es wichtig?

# Block all connections in the TCP port 22 (ssh)  
$IPTABLES -A "afwall" -p TCP --dport 22 -j "afwall-reject"

welche UDP/TCP-Ports sind unnötig oder aus Sicherheit empfohlen zu blocken?

hab das hier aus der Entwickler-Webseite gefunden: neben dem Custom Script kann man auch ein Shutdown Script reintun, dieses Script blockt alle Verbindungen, wenn die Afwall nicht läuft.

Spoiler

# Shutdown script to run when AFWall+ is disabled. It will block everything.
# Droidwall
#chmod 0755 /data/data/com.googlecode.droidwall/app_bin/droidwall.sh
IP6TABLES=/system/bin/ip6tables
IPTABLES=/system/bin/iptables

# Clear Rules
$IP6TABLES -t nat -F
$IP6TABLES -F
$IPTABLES -t nat -F
$IPTABLES -F INPUT-firewall
$IPTABLES -F OUTPUT-firewall

## Create Chains ##
$IPTABLES -N INPUT-firewall
$IPTABLES -D INPUT -j INPUT-firewall
$IPTABLES -I INPUT -j INPUT-firewall
$IPTABLES -N OUTPUT-firewall
$IPTABLES -D OUTPUT -j OUTPUT-firewall
$IPTABLES -I OUTPUT -j OUTPUT-firewall

## DROP TRAFFIC ##
$IP6TABLES -A INPUT -j LOG --log-prefix "Denied IPv6 input: "
$IP6TABLES -A INPUT -j DROP
$IP6TABLES -A OUTPUT -j LOG --log-prefix "Denied IPv6 output: "
$IP6TABLES -A OUTPUT -j DROP
$IPTABLES -A INPUT-firewall -j LOG --log-prefix "Denied IPv4 input: "
$IPTABLES -A INPUT-firewall -j DROP
$IPTABLES -A OUTPUT-firewall -j LOG --log-prefix "Denied IPv4 output: "
$IPTABLES -A OUTPUT-firewall -j DROP

 

[ooo]

Was du an Regeln schreibst, ist okay, soweit ich das beurteilen kann.

Die AFWall+ Firewall benutzen wir mit unseren Einstellungen ja im Whitelist-Modus.
Dadurch werden grundsätzlich zunächst alle Verbindungen geblockt.
Nur, was in der Liste der Apps dann angehakt ist, wird nach draußen gelassen.

Das bedeutet z. B. für eine so freigegebene Mail-App, dass sie ALLE Ports benutzen kann, wenn sie freigegeben wurde.

Deswegen ist der Gedanke auch erstmal richtig, die Ports 25 (SMTP) und 143 (POP3) zu blocken (bei Port 25 wäre ich vorsichtig: es gibt Mail-Server, die über diesen unverschlüsselten Port direkt auf verschlüsselt umschalten - Stichwort: STARTTLS).

Allerdings kann man in den Einstellungen der Mail-App die zu verwendenden Ports (indirekt) meistens selbst eintragen. - Die App verhält sich dann so, wie wir das möchten.
(Es sei denn, es gibt einen Fallback-Mechanismus, wie beim Mail-Transfer, dass auf eine ungeschütze Verbindung heruntergeschaltet wird, wenn einer der Kommunikationspartner keine Verschlüsselung kann/zulässt.)

Der Vorteil dabei ist, dass andere Apps, die evtl. diese (zentral in AFWall+ geblockten) Ports benutzen wollen, das dann auch noch können, wenn die Regel nicht im AFWall+ Start-Script steht.

Es ist eine Entscheidung. - Man kann es so oder anders machen.

Anderer Gedanke:

Jede App, der man erlaubt, das Internet zu benutzen, kann prinzipiell jede IP und jeden Port ansteuern.

Deswegen ist es gut, wenn man herausfindet, welche Ports eine App benutzt und wohin (IPs) sie sich verbindet (z. B. mit "Netzwerk Log" längere Zeit eine App beobachten).

Dann kann man 3 Dinge tun, wenn einem das Verhalten nicht gefällt:
1. Über eine iptables Script-Regel bestimmte Ports/IPs blocken (geht auch nur für eine einzelne App über den user-Parameter; jede App hat ja eine eigene uid = user id, z. B. ""u0_a61" = Android User 0 - App 61)
2. Die App aus der Whitelist nehmen (Haken entfernen)
3. Die App deinstallieren

SSH-Verbindungen (und alle anderen):
Wenn man Port 22 nicht benötigt, kann man das explizit blocken.
SSH könnte aber nur eine Anwendung sein, die den Port verwendet.
Was ist, wenn andere Apps Port 22 ebenfalls benutzen möchten (s. o., "Jede App in der Whitelist kann jeden Port benutzen, wenn sie will.")?
Man kann es also explizit blockieren, wenn man sich sicher ist, dass keine wichtige App den Port auch verwendet.
Noch etwas: eine SSH-Verbindung muss nicht zwingend über den Standard-Port 22 laufen. - Man kann den Port ändern. - Das gleiche gilt für alle Protokolle und deren Ports (Ich kann z. B. einen Web-Server leicht auf Port 4711 anstatt Port 80 laufen lassen; oder meinen Mail-Server auf Port 55555 anstatt 25).

Das beantwortet auch die Frage, welche UDP/TCP-Ports extra blockiert werden sollten: Erstmal keine.

 

[an0n]

Das mit dem Blockieren der Ports lass ich dann mal sein. Kann man eigentlich in NetworkLog die geloggten IP-Adressen in lesbare URLs darstellen?

 

[ooo]

Für IPs (Domains)
> Einstellungen > Allgemeine Optionen > Hostnamen auflösen (anhaken)

Für Protokolle (Ports)
> Einstellungen > Allgemeine Optionen > Portnamen auflösen (anhaken)

[...] Kann man eigentlich in NetworkLog die geloggten IP-Adressen in lesbare URLs darstellen?

 

[zcover]

Zitat von an0n
[...] Kann man eigentlich in NetworkLog die geloggten IP-Adressen in lesbare URLs darstellen?

networking.txt

Oh, das ist ja geil, genau mein Wunsch.
Die Frage wollte ich gerade stellen.

@ooo
Welchen SSH Server empfiehlst Du für Android? Am liebsten einen aus dem F-Droid Repository. CyanogenMod CM 11 wird zur Zeit für mein Samsung Xcover 2 GT-S7710 nicht weiter entwickelt. In Verwendung habe ich ein root-Stock ROM.
Nutzt Du Dropbear?
http://wiki.cyanogenmod.org/w/Doc:_dropbear

Teilantwort: https://www.android-hilfe.de/forum/...t-geht-afwall.611866-page-3.html#post-8274360

Beste Grüße
zcover

 

[ooo]

Dropbear (Cyanogen Documentation)

Note: LEGACY

This guide is provided for support on CM7 devices, OpenSSH is now used instead as of CM9

Da musst du dich selbst durchprobieren, da ich ja weder dein Phone hier habe, noch die gerootete Stock-ROM kenne. - Es kann aber nicht so schwer sein. - Fang einfach mit dem SSH-Server an, den du besser kennst.

Edit: Hier und hier kannst du evtl. noch ein paar Tipps finden

 

[zcover]

Hallo Ihr,

in meiner "networking.txt" die von Network Log erstellt wurde habe ich nur IP Adressen, aufgelöst wurden diese nicht.

Für IPs (Domains)
> Einstellungen > Allgemeine Optionen > Hostnamen auflösen (anhaken)

Für Protokolle (Ports)
> Einstellungen > Allgemeine Optionen > Portnamen auflösen (anhaken)

Beides habe ich angehakt.

Was mache ich falsch, wo finde ich ansonsten die IP Adressen Auflösung?

Beste Grüße

zcover

 

[an0n]

Was mache ich falsch, wo finde ich ansonsten die IP Adressen Auflösung?

In NetworkLog kannst du unter der "Log""-Ansicht die URLs sehen. Man kann hier auch auf die Verknüpfung mit den 3 Punkten klicken und Exportieren wählen, es wird dann eine csv-Logdatei erstellt, die eine viel bessere Übersicht zeigt als die networking.txt Die IP-Adressen sind hier allerdings ebenfalls nicht aufgelöst.

 

[zcover]

Man kann hier auch auf die Verknüpfung mit den 3 Punkten klicken und Exportieren wählen, es wird dann eine csv-Logdatei erstellt, die eine viel bessere Übersicht zeigt als die networking.txt Die IP-Adressen sind hier allerdings ebenfalls nicht aufgelöst.

Hallo an0n,

welche 3 Punkte meinst Du?

Hallo alle,

wie bekomme ich "Navigaon Select" ohne Google Play auf mein Smartphone?
Gehe ich das mit Appmonster oder mit Titanium Backup an?
Ist ein direkter Dowmload irgendwie möglich?

Beste Grüße
zcover

 

[ooo]

Sorry, @zcover, aber in diesem Thread (thematisch) gar nicht.

Schau' (und frag') dich mal hier um:

Navigon auf Android-Hilfe.de - Seite 2

[...] wie bekomme ich "Navigaon Select" ohne Google Play auf mein Smarthphone? [...]

 

[zcover]

Hallo ooo,

ich ich war unsicher, wo und wie ich fragen sollte.

Die Frage fomuliere ich um, wie bekomme meine gekaufte Software ohne Google Play (ohne Internetzugang) am einfachsten in ein Android System? Bei Google Play ist diese mit der IMEI Nummer registriert.

Die Offline-Software soll funktionieren, ohne das ich das ein mal im Internet war.

Beste Grüße

zcover

 

[zcover]

Hallo,

funktioniert bei Network Log (Analyse für Traffic und IP-Destination)
die Festlegung des Speicherortes richtig?
Bei mir, ich verwende Link2SD kann ich den Speicherort /storage/extSdCard/ für die networklog.txt nicht festlegen.

Beste Grüße
zcover

 

[gene]

Hallo, sehr schöne Anleitung

Was ist denn der Unterschied, wenn man DNS über netd deaktiviert und dann die Haken bei den beiden Punkten0: Root und -11: (Kernel) im Vergleich zu aktivierten DNS über netd? Bei aktivierten geht vermute ich ALLES an der Firewall vorbei, bei deaktivierten und den beiden Haken gehts nichts vorbei und das notwendige wird durchgelassen?

LAN ist für das Heim-WLAN. Woran wird denn das Heimnetzwerk erkannt? Ich bin ich 3 WPA2-verschlüsselten Netzwerken (nicht gleichzeitig natürlich). Woher weiß AFWall+ welches davon das Heimnetzwerk ist? Oder sind es alle verschlüsselten?

Wenn ich bei WLAN einen Haken setze heißt das automatisch auch JA für LAN? WLAN sind j alles WLANs, LAN aber nur mein eigenes.

Wenn irgendeine App (via Tethering oder VPN) in das Internet muss (Browser, Mail etc.), dann aktiviert man (neben der App selbst) im Profil zusätzlich:

• -12: DHCP+DNS (Tethering)

(Das löst die verwendeten Domain-Namen in die IPs auf.)

Den Punkt verstehe ich nicht. Eine App die über Tethering ins Internet geht klingt für mich so, als ob das Handy an einem anderen Handy (das ein mobiler Hotspot ist) hängt. Da sollten doch die WLAN-Berechtigungen greifen. Das mit dem VPN versteh ich auch nicht. Ist damit eine extra VPN-App wie VPNcilla gemeint?

Wenn du SMS/MMS auch empfangen möchtest, wenn du W-LAN an hast, dann musst du auch in der 2. Spalte einen Haken setzen bei SMS/MMS und Telefon. - Mobile Daten (auch Roaming) werden bei aktiver W-LAN-Verbindung vom Phone nicht benutzt, da es langsamer und evtl. teurer ist.

Ist das immer so, dass über Mobildaten keine SMS bezogen werden, wenn WLAN aktiv ist? Nur wenn es aktiv ist oder nur wenn es im einem WLAN-Netz ist? Ich wusste bisher nicht, dass da SMS über WLAN bezogen werden.

Einen Punkt für das Telefon hab ich in AFWall+ nicht. Da gibt es einen der nennt sich "Telefon, Telefon-/SMS-Speicher, SIM-Toolkit, Premium Sms Updater, ..." Ist es da? Ich kann es derzeit nicht testen, da ich noch keine Micro-SIM habe. Die kommt erst diese Woche.

Für das Benutzen von GPS (und Download von A-GPS-Daten) aktiviert man (neben der App selbst; z. B. "GPS Status", "Maps", "Öffi") zusätzlich:

• GPS
• Kombinierte Standortbestimmung (optional, wenn auch W-LAN-Netze und Mobil-Funk-Sendemasten verwendet werden sollen)

Wieso muss ich da auch GPS freigeben (bei A-GPS verständlich)? Werden da auch Daten über Mobilfunk gezogen? Die "Kombinierte Standortbestimmung" gibt es bei mir nicht. Gibt es dafür auch einen anderen Namen?

Diese App benötigt nur dann wieder root und Internet, wenn die Liste der "bad domains" aktualisiert werden soll, entsprechende Benachrichtigungen können ignoriert werden. - In AFWall+ können die Haken für Internetzugriff bis zum nächsten Mal entfernt werden. - Wenn man Titanium Backup Pro (Kauf-Version) hat, kann man AdAway auch gleich ganz einfrieren, bis man es wieder benötigt (AdAway startet automatisch beim Start des Phones)

Verstehe ich das richtig, dass AdAway nur eingerichtet und dann eingefroren werden kann? Es muss nicht ständlich im Hintergrund laufen um Werbung zu blocken? Das mit dem Neustart bezieht sich vermutlich nicht auf den Sachverhalt, wenn ich die App eingefroren habe.

Hast du mal Geschwindigkeitsprobleme festgestellt, wenn du einen anderen (freien) DNS-Server benutzt? Ich hab das heute eingerichtet und konnte erstmal nichts feststellen, war aber auch kein sehr langer Test.

 

[ooo]

Hi, und danke.


Nicht, ganz: Bei aktiviertem netd geht z. B. der Traffic auf Port 53 (DNS Anfragen) oder 137,138 (SMB im Heimnetzwerk = LAN) oder auch ICMP Request, aber auch andere Sachen an der Registrierung durch die Firewall vorbei. - Wenn es evtl. auch nicht sicherheitsgefährdend ist, so sorgt es doch (unterwegs) für verbrauchtes Volumen. - Bei deaktiviertem netd kann die Firewall das "sehen" und man kann diesen Traffic dadurch auch unterbinden, wenn man überhaupt keine Haken gesetzt hat. - Weiterhin kann man sich die custom scripts so schreiben, dass bestimmte Dinge auch unterbunden werden (das ist aber ein komplexes Thema, hier gibt es ein paar Posts vorher Links auf Beispiele auf der Entwickler-Seite von AFWall+ dazu). - Natürlich kann man auch ganz schlicht die Mobilen Daten ausschalten oder den Flugmodus ein. - Das ist aber nicht der Sinn der Sache.

Also:
netd aktiviert = Es wird immer etwas durchgelassen, aber nicht "alles", die Firewall kann es nicht "sehen" und nicht "zählen"

netd deaktiviert und 0 root aktiviert und -11 kernel aktiviert = es wird genau das selbe durchgelassen , aber registriert (gezählt)

netd deaktiviert und 0 root deaktiviert und -11 kernel deaktiviert = Ruhe

Hallo, sehr schöne Anleitung

Was ist denn der Unterschied, wenn man DNS über netd deaktiviert und dann die Haken bei den beiden Punkten0: Root und -11: (Kernel) im Vergleich zu aktivierten DNS über netd? Bei aktivierten geht vermute ich ALLES an der Firewall vorbei, bei deaktivierten und den beiden Haken gehts nichts vorbei und das notwendige wird durchgelassen?

___

LAN = nur internes W-LAN (z. B. 192.168.0.1 .. 192.168.0.254) = keine Verbindung über den W-LAN-Router nach "draußen" in das Internet. - Nur Rechner/Geräte im (selben) Heimnetzwerk sind erreichbar. - Der Nachbar hat z. B. ein anderes LAN, das (hoffentlich) auch verschlüsselt ist (WPA/WPA2). - Wenn ihr den selben IP-Bereich habt, kann das aber schon mal blöd werden. - Das ist aber selten.

W-LAN = alles, was weiter als zum eigenen Router kommt ("draußen" = Internet)

Mobile Daten = sowieso "draußen" = Internet

Dein Heimnetzwerk wird an der BSSID (MAC Adresse des Routers) und an der SSID (Netzwerkname, also Kennungen, die du in der Liste der W-LAN-Netzwerke siehst) erkannt und daran, dass du dich aktiv dort mal angemeldet hast (Passwort). - Das Phone bekommt eine IP vom Router dieses (W-LAN)Netzwerks, das du aktiv ausgewählt hast und das ist dann dein Heimnetzwerk. - Verbindest du dich mit einem anderen Netzwerk (W-LAN), dann ist das für das Phone sein neues Heimnetzwerk. - Alle diese Netzwerke merkt sich das Phone und verbindet sich automatisch, falls es ein solches Netzwerk "sieht", welche sin seiner "Liste" steht. - Deswegen sollte man die automatische Suche nach offenen Netzwerken und die automatische Verbindung mit einem Netzwerk auch ausschalten.
Fremde Netze können offene W-LANs sein und den gleichen Namen / die gleichen IP-Bereiche haben, so dass sich das Phone "sicher fühlt" und sich einbucht, weil es "meint" es wäre "zuhause". - Damit gibt es evtl. Jemanden, der mit deinem Phone ohne dein Wissen verbunden ist (direkt), den du aber nicht kennst. - Keine Kontrolle bis du es merkst und einschätzen kannst ...
(Also: alle Funk-Module, die nicht verwendet werden, immer ausschalten. W-LAN, Mobile Daten, Bluetooth, NFC etc.)

LAN ist für das Heim-WLAN. Woran wird denn das Heimnetzwerk erkannt? Ich bin ich 3 WPA2-verschlüsselten Netzwerken (nicht gleichzeitig natürlich). Woher weiß AFWall+ welches davon das Heimnetzwerk ist? Oder sind es alle verschlüsselten?

___

Nein. - Siehe oben.

Alles sind W-LANs, ja. Aber der Begriff "LAN" ist für das eigene Heimnetzwerk gedacht (ist auch ein W-LAN). - Nichts geht in das Internet.
Man kann es auch zur Unterscheidung als Intranet bezeichnen.

Wenn man einen Haken bei W-LAN setzt, kommt man nur durch den Router hindurch in das Internet, nicht in das "LAN" (anderer Rechner im Heimnetzwerk sind dann nicht erreichbar; einfach mal mit entsprechender App probieren: Netzwerk-Laufwerk auf anderem Rechner erreichbar? ja/nein).

Wenn ich bei WLAN einen Haken setze heißt das automatisch auch JA für LAN? WLAN sind j alles WLANs, LAN aber nur mein eigenes.

___


Das ist unglücklich formuliert, du hast recht. - Gemeint ist, wenn das Phone als AP (Access Point/Router/Hotspot) für andere Geräte herhalten muss, du also das Tethering (W-LAN, Bluetooth, USB) auf diesem Phone aktivierst, musst du die Haken setzen, damit die anderen Geräte (Notebook etc.) deine Internet-Verbindung (mit-)nutzen können.

Zum VPN: Nein. - Alles, was mit einer VPN-*App* zu tun hat, ist hier NICHT gemeint. - Dein VPNcilla ist eine eigenständige App, die die VPN-Sachen selbst verwaltet, wie z. B. auch OpenVPN. - Diese Apps müssen in der Firewall explizit freigeschaltet werden (Spalte 2 und/oder 3 - nicht Spalte 5, weil sie VPN selber "machen").

Die Spalte 5 (VPN) ist dafür gedacht, wenn das Phone in seinen Einstellungen die Möglichkeit bietet (ohne extra VPN-App), VPN-Konten zu verwalten und entsprechende geschützte Verbindungen herzustellen. - Es gibt Phones (ROMs), die das eingebaut mitbringen (dann Spalte 5 bei einer App, z. B. Browser oder Mail, benutzen) und andere können das nicht. - Dann Spalte 5 nicht benutzen, aber eine eigene VPN App installieren und wie eine reguläre App über Spalte 2 und/oder 3 ins Internet lassen. - Alle anderen Apps müssen dann "durch" die VPN-App hindurch in das Internet gehen. - Dafür sorgt dann die VPN-App. - "Eingebautes" VPN ist besser, da eine App weniger auf dem Phone ist.

Den Punkt verstehe ich nicht. Eine App die über Tethering ins Internet geht klingt für mich so, als ob das Handy an einem anderen Handy (das ein mobiler Hotspot ist) hängt. Da sollten doch die WLAN-Berechtigungen greifen. Das mit dem VPN versteh ich auch nicht. Ist damit eine extra VPN-App wie VPNcilla gemeint?

___


Wenn aktive W-LAN-Verbindung, dann werden SMS/MMS über W-LAN gesendet/empfangen.
Wenn keine W-LAN-Verbindung vorhanden, aber Mobile Daten an, dann über Mobile Daten.
Wenn beides aus, kein Senden/Empfang möglich, logisch.

Bei Androiden kenne ich das nur so, ja ("W-LAN" oder "Mobile Daten").
Priorität hat eine aktive W-LAN-Verbindung, da "Mobile Daten" teurer sind (für dich und für den Provider). - Das gilt auch für alle anderen Dinge, wie z. B. Surfen, Mails holen etc. - Mobile Daten via LTE/UMTS/GPRS wird nur benutzt, wenn keine W-LAN-Verbindung vorhanden ist.
(Evtl. gibt es auch Hybrid-Geräte, ich kenne keins. Der Provider kann auch SMS über GPRS senden (Service-SMS)).

Ist das immer so, dass über Mobildaten keine SMS bezogen werden, wenn WLAN aktiv ist? Nur wenn es aktiv ist oder nur wenn es im einem WLAN-Netz ist? Ich wusste bisher nicht, dass da SMS über WLAN bezogen werden.

___


Das ist Telefon (und SMS/MMS), ja.
Manche ROM-Hersteller fassen bestimmte Apps zu (funktionalen) Gruppen zusammen. - Daher der Unterschied und die etwas anderen Bezeichnungen. - Ansonsten: einfach ausprobieren.

Einen Punkt für das Telefon hab ich in AFWall+ nicht. Da gibt es einen der nennt sich "Telefon, Telefon-/SMS-Speicher, SIM-Toolkit, Premium Sms Updater, ..." Ist es da? Ich kann es derzeit nicht testen, da ich noch keine Micro-SIM habe. Die kommt erst diese Woche.

___


A-GPS hast du ja bereits genannt (TCP Port 80/443). - Kartenmaterial z. B. bei Navigation holt sich dann wieder eine andere App (Maps, Navigon OSMand etc.). eine andere Bezeichnung könnte z. B: Fused Location sein. Auch weitere können existieren. - Frag deinen ROM-/Phone-Hersteller danach, wenn du es nicht findest. - Evtl. ist es auch überhaupt nicht integriert und fehlt deshalb.
Mit der Netzwerk Log App kann man das ja leicht ermitteln, wann bei GPS welche App was macht und das Traffic-Volumen sehen.

Wieso muss ich da auch GPS freigeben (bei A-GPS verständlich)? Werden da auch Daten über Mobilfunk gezogen? Die "Kombinierte Standortbestimmung" gibt es bei mir nicht. Gibt es dafür auch einen anderen Namen?

___


Ja. AdAway dient nur dazu, aktuelle Listen von Werbe-Domains auf bestimmten Servern abzuholen und diese Listen dann zu einer einzigen großen Datei "zusammenzubauen" (Die generierte Datei /system/etc/hosts, ca. 1 MiB groß). Schau ,al in die Datei rein (nur Text). - Für Details suchst du mal nach "Werbung blocken mit hosts Datei IP 127.0.0.1 localhost" oder ähnlichen Stichworten.

Zum Aktualisieren muss man die App natürlich wieder reaktivieren, um die neuen Lsiten zu bekommen, sonst braucht man die App nicht aktiv auf dem Phone.

Verstehe ich das richtig, dass AdAway nur eingerichtet und dann eingefroren werden kann? Es muss nicht ständlich im Hintergrund laufen um Werbung zu blocken? Das mit dem Neustart bezieht sich vermutlich nicht auf den Sachverhalt, wenn ich die App eingefroren habe.

___

Nein, das weltweite DNS-System ist so wichtig und deswegen so redundant ausgelegt, dass es keine nennenswerten Einschränkungen gibt/geben darf. - Wenn trotzdem etwas bremst, dann ist es der aktuelle Traffic/dein Empfang (unterwegs) oder evtl. ein Provider der ein schlecht ausgebautes Netz hat oder es ist (wie im Berufsverkehr auch) einfach Hauptverkehrszeit. - Auch deine angesurften Ziel-Server könnten bei vielen gleichzeitigen Anfragen zu schwach sein, um dich schnell "glücklich zu machen". - Du bist ja nicht allein - da sind Millionen von Leuten gleichzeitig unterwegs - immer ...

Hast du mal Geschwindigkeitsprobleme festgestellt, wenn du einen anderen (freien) DNS-Server benutzt? Ich hab das heute eingerichtet und konnte erstmal nichts feststellen, war aber auch kein sehr langer Test.

___


Ich hoffe, das hat dir etwas geholfen. - Schönen Abend noch ...
_

 

[gene]

Dein Heimnetzwerk wird an der SSID (MAC Adresse des Routers) und an der BSSID (Netzwerkname, also Kennungen, die du in der Liste der W-LAN-Netzwerke siehst) erkannt und daran, dass du dich aktiv dort mal angemeldet hast (Passwort). - Das Phone bekommt eine IP vom Router dieses (W-LAN)Netzwerks, das du aktiv ausgewählt hast und das ist dann dein Heimnetzwerk.

Gibt es Möglichkeiten die Difinition, was mein Heimnetzwerk/meine Heimnetzwerke sind anzupassen, z. B. eine bestimmte SSID oder nach MAC-Adresse des Routers?

Wenn irgendeine App (via Tethering oder VPN) in das Internet muss (Browser, Mail etc.), dann aktiviert man (neben der App selbst) im Profil zusätzlich:

• -12: DHCP+DNS (Tethering)

(Das löst die verwendeten Domain-Namen in die IPs auf.)

Wenn ich - wie du erklärt hast - mein Smartphone als Modem nutze, wieso soll ich dann die App die ins Internet gehen will freigeben? Die läuft doch auf einem anderen Gerät? Wenn ich z. B. mein Smartphone als AP nutze und mein Tablet verbinde und auf dem Tablet Firefox starte muss ich doch Firefox nicht auf dem Smartphone freigeben. Maximal auf dem Tablet wenn auch dort eine FW läuft.

Wenn aktive W-LAN-Verbindung, dann werden SMS/MMS über W-LAN gesendet/empfangen.
Wenn keine W-LAN-Verbindung vorhanden, aber Mobile Daten an, dann über Mobile Daten.
Wenn beides aus, kein Senden/Empfang möglich, logisch.

Werden die mobilen Daten auch dann blockiert, wenn man an einem WLAN verbunden ist, das WLAN-Gerät aber nicht ins Internet gehen kann, z. B. weil die Fritzbox offline (kein Kabel angesteckt) ist? Die WLAN-Verbindung besteht ja dennoch.

Kartenmaterial z. B. bei Navigation holt sich dann wieder eine andere App (Maps, Navigon OSMand etc.)

OK, sowas würde ich aber niemals nutzen, weiß aber, dass andere sowas machen. Ich würde Kartenmaterial nur offline updaten. Wüsste jetzt gar nicht ob mein TomTom online Kartenmaterial suchen kann. Wobei mir weiterhin unlogisch ist, wieso GPS online gehen muss, damit die Navi-App Kartenmaterial runterladen kann. Die App braucht ja GPS für die Standortbestimmung, d.h. die App holt sich den Standort vom GPS und übermittelt ihn an den Server, nicht mein GPS.

eine andere Bezeichnung könnte z. B: Fused Location sein. Auch weitere können existieren

Bei mir steckt das in "1000: Downloadagent, usbotg, Device Usage, ...". Was das alles ist weiß ich nicht. Sagt dir das etwas?

Die Spalte 5 (VPN) ist dafür gedacht, wenn das Phone in seinen Einstellungen die Möglichkeit bietet (ohne extra VPN-App), VPN-Konten zu verwalten und entsprechende geschützte Verbindungen herzustellen.

Ich hab VPNcilla gekauft, weil die onBoard-Mittel die Verbindung bei meinem alten Smartphone nicht herstellen konnten und bin dann dabei geblieben. wenn ich das mit Boardmitteln einrichte und ich einer App VPN erlaube, heißt das, dass sie NUR zum VPN-sever verbinden darf?
___

Ich hab mal etwas gegoogelt und über Apps Möglichkeiten gefunden den DNS-Server des Android zu ändern (geht wohl auch durch editieren eine bestimmten Datei, wenn man root hat). Das sollte doch auf das gleiche hinauslaufen wie wenn ich das in AFWall+ einstelle? Hat das in AFWall+ andere Konsequenzen?

 

[ooo]

Ich hoffe, du kannst ein wenig Englisch?

https://duckduckgo.com/?q=android%20connect%20only%20to%20a%20certain%20ssid%20bssid

Gibt es Möglichkeiten die Difinition, was mein Heimnetzwerk/meine Heimnetzwerke sind anzupassen, z. B. eine bestimmte SSID oder nach MAC-Adresse des Routers?

___

Nein, du erlaubst deinem Phone damit, dass es überhaupt Tethering machen darf (für andere).
(Die App, die auf dem Fremd-Phone läuft, musst du auf dem eigenen Phone nicht freigeben, richtig. - Aber, wenn du z. B. mit dem eigenen Phone surfen möchtest, musst du ja Firefox freigeben.)

Wenn ich - wie du erklärt hast - mein Smartphone als Modem nutze, wieso soll ich dann die App die ins Internet gehen will freigeben? Die läuft doch auf einem anderen Gerät? Wenn ich z. B. mein Smartphone als AP nutze und mein Tablet verbinde und auf dem Tablet Firefox starte muss ich doch Firefox nicht auf dem Smartphone freigeben. Maximal auf dem Tablet wenn auch dort eine FW läuft.

___

Ja. (Selbst ausprobieren?)

Werden die mobilen Daten auch dann blockiert, wenn man an einem WLAN verbunden ist, das WLAN-Gerät aber nicht ins Internet gehen kann, z. B. weil die Fritzbox offline (kein Kabel angesteckt) ist? Die WLAN-Verbindung besteht ja dennoch.

___

Aber das GPS selbst holt sich Daten aus dem Internet (Satellitendaten - A-GPS). - Es geht dabei nicht um das Karten-Material.

OK, sowas würde ich aber niemals nutzen, weiß aber, dass andere sowas machen. Ich würde Kartenmaterial nur offline updaten. Wüsste jetzt gar nicht ob mein TomTom online Kartenmaterial suchen kann. Wobei mir weiterhin unlogisch ist, wieso GPS online gehen muss, damit die Navi-App Kartenmaterial runterladen kann. Die App braucht ja GPS für die Standortbestimmung, d.h. die App holt sich den Standort vom GPS und übermittelt ihn an den Server, nicht mein GPS.

___

Das ist der system-Account des Phones. - Warum eigentlich nicht? - Allerdings dürfen alle anderen dort genannten Anwendungen dann auch in das Internet. - Z. B. "Device Usage" klingt so, als ob dein ROM-Hersteller Daten über dein Nutzungsverhalten gerne über das Internet zu sich nach Hause schaufeln würde? - Mir wäre das suspekt. - Prüf das doch mal mit der App "Netzwerk Log" nach, was da evtl. wie und wohin geht ...

"Downloadagent" kann für Datei-Downloads sein, "usbotg" ist USB on-the-go und dient evtl. als Schnittstelle, um externe USB-Festplatten an das Phone anzuschließen (wenn es das kann) - mit entsprechendem USB-OTG-Kabel; das muss auch nicht ins Internet, sehr seltsam ... Was ist das für ein Phone (Hersteller, Modell/Typ) und welche ROM (Release, Kennung, Hersteller, Build-Datum, Version)?

Bei mir steckt das in "1000: Downloadagent, usbotg, Device Usage, ...". Was das alles ist weiß ich nicht. Sagt dir das etwas?

___

Ja.

Ich hab VPNcilla gekauft, weil die onBoard-Mittel die Verbindung bei meinem alten Smartphone nicht herstellen konnten und bin dann dabei geblieben. wenn ich das mit Boardmitteln einrichte und ich einer App VPN erlaube, heißt das, dass sie NUR zum VPN-sever verbinden darf?

___

Nicht ganz. - Es gibt z. B. eine Datei /system/etc/resolv.conf oder auch /etc/resolv.conf (wie auf einem Linux System). - Die kann bereits da sein oder auch nicht. - In dieser werden die name server eingetragen(DNS-Server, also z. B. die IPs der DNS-Server von OpenDNS, Google etc.).

Dann gibt es in einer Android-ROM evtl.(!) noch die Möglichkeit, bestimmte Einträge in der Datei /system/build.prop oder - noch ROM-näher - in den /init*.rc Dateien für die DNS-Server zu setzen (Nur ein Beispiel).

Diese sind aber nach einem Reboot wieder auf die ursprünglichen Werte zurückgesetzt (das Neu-Setzen machen dann deine Apps bei jedem Start für dich).

Auch muss der ROM-Entwickler diese Parameter vorgesehen haben, um diese einstellen zu können.
Diese Parameter heißen je nach ROM und den Schnittstellen (rmnet0, p2p0, wlan0 etc.) auch immer gerne mal unterschiedlich.

Deine Apps können das vllt. für dich ändern, ja. - Allerdings sind diese Einstellungen meistens nur für W-LAN gedacht. Für die Mobilfunkschnittstelle (Mobile Daten, nicht W-LAN) gibt es evtl. auch Apps. Manche Apps können auch das ändern. Für alle Änderungen benötigt eine App zwingend "Root" (hast du ja).

Der Ansatz, das über AFWall+ zu lösen, erledigt alles auf einmal und du brauchst keine weitere Extra-App mit Root-Berechtigung. - Das ist die Idee hinter diesem Punkt.

Mach es einfach so, wie du es möchtest.

Ich hab mal etwas gegoogelt und über Apps Möglichkeiten gefunden den DNS-Server des Android zu ändern (geht wohl auch durch editieren eine bestimmten Datei, wenn man root hat). Das sollte doch auf das gleiche hinauslaufen wie wenn ich das in AFWall+ einstelle? Hat das in AFWall+ andere Konsequenzen?

 

[gene]

Nein, du erlaubst deinem Phone damit, dass es überhaupt Tethering machen darf (für andere).
(...) Aber, wenn du z. B. mit dem eigenen Phone surfen möchtest, musst du ja Firefox freigeben.)

Wenn ich also mein Z2 als Modem nutze und mit einem anderen Handy über das Z2 online gehen will erlaube ich Tethering. Wenn ich parallel dazu noch mit dem Firefox über das Z2 online gehen will, erlaube ich den Firefox? Das ist logisch. Ich denke aber der Hinweis auf die App verwirrt den Punkt Tethering mehr.
___

Ich muss die Unterscheidung zwischen LAN, WLAN und VPN nochmal hoch holen da ich da bei einigen Apps Verbindungsprobleme hatte die auf diese Freigaben zurückzuführen waren:

• LAN: Wie schon beschrieben das Heimnetzwerk. Gebe ich LAN frrei kann eine App ins Heimnetzwerk verbinden, aber nur darin. Wenn ich z. B. über MyFritz-Freigaben 2 entfernt stehende FritzBoxen verbinden habe udn ich zu einer dieser Boxen als Heimnetzwerk zugreife sollte auch die andere als Teil des Heimnetzwerkes angesehen werden, schließlich muss man ja extra dafür die IPs beider FritzBox-Netzwerk anpassen.
• WLAN: WLAN-Verbindungen ins Internet, nicht aber ins Heimnetzwerk. Habe ich WLAN aktiviert und LAN nicht, kann der Firefox z. B. ebay.de aufrufen, nicht aber das Konfig-Menü meiner FritzBox.
• VPN: Alle VPN-Verbindungen die mit Boardmitteln eingerichtet wurden, egal ob diese über WLAN oder mobile Daten erfolen. Habe ich VPN freigegeben, WLAN und LAN aber nicht kann die App auf Geräte und Seiten über das VPN verbinden, nicht aber auf Geräte und Seiten im Heimnetzwerk und Internet. Ob das überhaupt relevant ist weiß ich nicht, k.A. wie sich das onBoard-VPN verhält. Wenn bei aktivierten VPN eh alle Verbindungen über das VPN geroutet werden, sollten alle Programme laufen bei denen VPN freigegeben wurde und alle nicht, bei denen nur LAN und/oder WLAN aktiviert wurde.