Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

[chbs80]

Ich habe das Start-Posting gerade aktualisiert.

Grundsätzlich gibt es zwei Szenarien:

1. Bei de-aktiviertem netd DNS-Proxy (in den Einstellungen)

muss man folgendes anhaken:

• 0: root
• -11: Kernel
• -12: Tethering (Wenn man das benötigt)
• Plus das, was man an Apps rauslassen möchte

2. Bei aktiviertem netd DNS-Proxy

• Evtl. -12: Tethering
• Die Apps, die man rauslassen möchte.

Hierbei werden "root" und "kernel" immer ins Internet gelassen, weil die Firewall das dann nicht abfangen kann.

Wenn ich etwas übersehen haben sollte oder es falsch zu sein scheint, meldet euch bitte mit einer detaillierten Beschreibug (auch Screenshots), damit ich es evtl. korrigieren kann.

Ich habe alles genau so eingestellt ich komme einfach nicht ins Internet.
Ich habe jede einzelne App zuerst blockiert und dann wieder freigegeben.
Nur wenn ich AfWall+ ganz ausschalte geht es. Also liegt es mal ganz sicher an AFWall+.
Ich habe noch keine Scripte eingespielt. IPV6 ist Blockiert habe ich mit und ohne ausprobiert.
Mein Handy S7 Ege mit LinageOS. Ich verwende nicht SuperSu sondern Magisk für die Root rechte.
Hat jemand eine Lösung dazu?

 

[mika24]

Ich habe noch mal rumexperimentiert, und hab die Lösung gefunden.

#
# /data/local/afwall/afwall-start-script
#
IPTABLES=/system/bin/iptables
IP6TABLES=/system/bin/ip6tables

Dieser Bereich muss entfernt werden [Rot Makiert], damit bei Samsung Geräten die Datennutzung korrekt berechnet werden.

# Flush/Purge INPUT rules (All 'afwall' chains/rules gets flushed automatically, before the custom script is executed)
$IPTABLES -F INPUT

# Flush/Purge all chain
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
#$IP6TABLES -X
#$IP6TABLES -t nat -X
#$IP6TABLES -t mangle -X

# Deny IPv6 connections
#$IP6TABLES -P INPUT DROP
#$IP6TABLES -P OUTPUT DROP

Als ich dies Entfernt hatte, funkionierte es auch mit der Datennutzung.

## Block Facebook Sicherheit - App-Entwicklung - Dokumentation - Facebook for Developers
## Outgoing Connection
$IPTABLES -A "afwall" -d 31.13.24.0/21 -j REJECT
$IPTABLES -A "afwall" -d 31.13.64.0/18 -j REJECT
$IPTABLES -A "afwall" -d 66.220.144.0/20 -j REJECT
$IPTABLES -A "afwall" -d 69.63.176.0/20 -j REJECT
$IPTABLES -A "afwall" -d 69.171.224.0/19 -j REJECT
$IPTABLES -A "afwall" -d 74.119.76.0/22 -j REJECT
$IPTABLES -A "afwall" -d 103.4.96.0/22 -j REJECT
$IPTABLES -A "afwall" -d 173.252.64.0/18 -j REJECT
$IPTABLES -A "afwall" -d 204.15.20.0/22 -j REJECT

# Force NTP DE ntp0.fau.de (131.188.3.220), Location: University Erlangen-Nuernberg
#$IPTABLES -t nat -A OUTPUT -p tcp --dport 123 -j DNAT --to-destination 131.188.3.222:123
#$IPTABLES -t nat -A OUTPUT -p udp --dport 123 -j DNAT --to-destination 131.188.3.222:123

# Force DNS (in this Case [OpenDNS](Cloud Delivered Enterprise Security by OpenDNS))
$IPTABLES -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 208.67.220.220:53
$IPTABLES -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.220.220:53

Würde mich gerne mal interessieren, wofür die Rot markierten Einträge sind, wofür man das überhaupt braucht!

 

[pueh]

Wie macht man ein (gerootetes) Android-Smartphone sicherer, BEVOR man das erste Mal ins Internet geht?

ich habe das Problemwort bei mir mal markiert - was mache ich, wenn ich ein gerootetes habe, konkret G5?

 

[ooo]

was mache ich, wenn ich ein gerootetes habe, konkret G5?

Dann arbeitest du alles ab (siehe Start-Posting) ohne es vorher zu rooten (weil es ja bereits gerootet ist) ... Du hast es dann einfacher ...

 

[pueh]

so, und jetzt lese ich erstmal, bevor ich absende - ich habe latuernich ein nicht gerootetes Moto G5... Sorry!

 

[ooo]

ich habe latuernich ein nicht gerootetes Moto G5...

Ohne Root kannst du auch z. B. das hier benutzen:

Android Firewall ohne Root • NoRoot Firewall • Kuketz IT-Security Blog

Die App im Play Store:
Firewall ohne Root – Android-Apps auf Google Play​

Oder NetGuard - no-root firewall:

NetGuard - no-root firewall – Android-Apps auf Google Play​

Oder irgendetwas Anderes:

firewall net guard – Android-Apps auf Google Play​

 

[syrell]

kann ich mit der adaway -App die host runterladen datei aktivieren und kann dann die app wieder desinstallieren- hab das nicht ganz vestanden.

 

[ooo]

@syrell
Nach einer Deinstallation von AdAway (v3.2) bleibt die (evtl. veränderte) Datei /system/etc/hosts erhalten.
Um die hosts-Datei *vor* der Deinstallation von AdAway auf den ursprünglichen Zustand zurückzusetzen, benutzt man in der App den Button [WERBEBLOCKER DEAKTIVIEREN].

 

[dmasu]

Ich hatte nach Kauf einer Fritzbox und Einrichtung des Medienservers einige Probleme, den Zugriff übers Tablet und Defy per DLNA/UPnP hinzubekommen. Letzlich konnte ich durch probieren herausfinden, dass man in AFWall unter Einstellungen/Experimentell "Interne Verbindungen erlauben" muss.
Gerne würde ich noch von der "fritz!app media" auf etwas von f-droid umsteigen, aber derzeit klappt es dort bei UPnP-Apps nicht mit dem installieren.

Update: Ich bin jetzt auf ControlDLNA umgestiegen, da die fritz!app mit amazonaws telefoniert. ControlDLNA ist zwar bei f-droid zu finden, aber derzeit kann man sie dort nicht herunterladen. Im Play Store gibt es die selbe Version, die man dann halt per Downloader bekommt. ControlDLNA tut ihren Job und telefoniert mit niemand.

 

[Kyle Katarn]

Im Kuketz-Blog gibt es einen interessanten neuen Beitrag zur Nutzung von AFWall+:
AFWall+: Wie ich persönlich die Android-Firewall nutze

 

[mika24]

Ich habe die Facebokk ips eingetragen, jedoch funktioniert Whatsapp telefonie nicht mehr. Ich habe durch eine ID Whitelist die ips von Facebook freigegeben. Aber würde gerne wissen, welche dafür wirklich zuständig ist.


#####whatsapp whitlist

$IPTABLES -I "afwall" -d 103.4.96.0/22 -m owner --uid-owner 10189 -j ACCEPT

$IPTABLES -I "afwall" -d 204.15.20.0/22 -m owner --uid-owner 10189 -j ACCEPT

$IPTABLES -I "afwall" -d 185.60.216.0/22 -m owner --uid-owner 10189 -j ACCEPT

$IPTABLES -I "afwall" -d 179.60.192.0/22 -m owner --uid-owner 10189 -j ACCEPT

$IPTABLES -I "afwall" -d 173.252.64.0/18 -m owner --uid-owner 10189 -j ACCEPT

$IPTABLES -I "afwall" -d 157.240.0.0/17 -m owner --uid-owner 10189 -j ACCEPT

Damit funkioniert es erstmal.

Das andere wegen der Datennutzung, tread weiter Oben. Da muss ich bei chains löschen, die Input Regeln auskommentieren, damit es richtig geht.

[Ist im Stopp script.]

#Evtl. bereits vorhandene Regeln löschen

#$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD

Vielleicht hat jemand eine Lösung.

 

[starbright]

Ich habe die Konfiguration AFWall, den Adblocker und Magisk als root.
In der Firewall habe ich
DNS-Proxy > DNS über netd deaktivieren wie beschrieben.
Bei Magisk gibt es einen Punkt "Systemlose Host-Datei" (für Werbeblocker). Sollte ich das dann aktivieren? Ich verstehe das nicht ganz. Was eine Host-Datei ist, ok, aber was bedeutet sytemlos?

 

[ooo]

"systemless" bedeutet, dass bei der Installation von Magisk absolut nichts an der system-Partition geändert wird.
Die besagte Host-Datei liegt aber normalerweise in der system-Partition (/system/etc/hosts).
Um diese nicht zu ändern, wird hier von Magisk ein sog. "Soft-Link" - bzw. technisch "mount bind ..." - gesetzt, der dafür sorgt, dass die originale host-Datei "überlagert" wird. - Das Original in der system-Partition bleibt erhalten (= keine Änderung an der system-Partition).
Die geänderte Host-Datei liegt dann in einer neuen von Magisk erzeugten Partition. Das ist eine .img-Datei, die in /data/... (data-Partition) abgelegt ist, welche ein Dateisystem/eine Partition enthält und beim Phone-Start gemountet wird. - Um das mounten zu können, muss bei der Installation von Magisk die boot-Partition geändert werden. - Apps, wie z. B. AdAway "reagieren" dann automatisch auf diese Konstellation (siehe Einstellungen dort).

___
Edit:
Ein Vorteil von "systemless" (bei gerooteten Stock-ROMs) ist, dass OTA-Updates weiter funktionieren, wenn man lediglich die geänderte boot-Partition wieder herstellt (und evtl. die originale recovery-Partition, falls man ein Custom Recovery installiert hatte). - Da die system-Partition die "fetteste" ist, hat man bei dieser Vorgehensweise auch eine Zeitersparnis (Backup & Restore).

 

[starbright]

Danke für die Erklärung.
Jetzt sehe ich, wozu die systemlose Host-Datei gut ist und was damit gemeint ist. Aber noch nicht so ganz, was passiert, wenn man den Haken nicht aktiviert (default)
Ich verstehe das so, dass es (solange man nicht aktiv in Magisk oder einem Modul eine neue host-Datei anlegt) eigentlich egal ist, wie dieser Schalter steht.
Der Werbeblocker legt seine Datei ganz wie zuvor in system ab - und diese wird genutz. Dann gibt es möglicherweise aber eh einen Konfikt, wenn die Host Datei von zwei Seiten bearbeitet würde.
Allerdings hat es die von dir genannte Vorteile, das auszulagen. In die Einstellungen von AdAway bin ich noch nie vorgedrungen bis jetzt.
Wie kann man den am besten die Funktion des AdAway prüfen ohne sich ungebetenes ins Haus zu holen?

 

[ooo]

Wenn in Magisk der Haken "Systemless Host-Datei" aktiviert ist, dann bekommt AdAway keine Chance, die originale hosts-Datei zu ändern.
Ist der Haken nicht gesetzt, dann wird die "echte" hosts-Datei wieder sichtbar und damit manipulierbar (für alle Apps & Prozesse).
In den Einstellungen von AdAway ist - je nach Zustand - die Option ausgegraut.
(Edit 2017-12-05: Außerdem ist die Einstellung in AdAway ausschließlich für SuperSU von Chainfire vorgesehen; AdAway kann mit Magisk aktuell noch nichts anfangen bzgl. systemless.)
Man kann diese Datei nicht von 2 Seiten bearbeiten (mit AdAway; zu "Fuß" ginge es natürlich ...).
Magisk ändert den *Inhalt* der hosts-Datei nicht, nur den *Pfad*, den andere Apps/Prozesse sehen.
(Andere Apps/Prozesse "sehen"/benutzen immer noch den originalen Pfad /system/etc/hosts, manipulieren aber die "untergeschobene" Datei in der Magisk-Partition, ohne es zu "wissen" ...)
___

Zugrundeliegendes Konzept:
mount bind overlay at DuckDuckGo

Siehe z. B. "Going beyond bind mounts" hier
What is a bind mount?
___

AdAway & "Ungebetenes"?

Trust it ... (or not.)

 

[Philse]

Hallo,

Was muss denn ins Internet für ein eingeschränktes Benutzerprofil?
(kein eigener Benutzer der Apps installieren oder verwalten darf, auch kein root)

Wenn ich im Root Benutzer in der Afwall "jede App" freigebe, so habe ich auch beim eingeschränkten Nutzer Internet.
Was also ist nötig zum weiterleiten?
VPN, Tethering bringt nix

Danke

 

[.mo]

Braucht AFWall+ eigentlich Root-Zugriff?

In den Anfangszeiten auf Xda braucht die Original-App noch Root-Berechtigung. Die Fork-Version etwa nicht mehr?

 

[rudolf]

Afwall mit Root. Netguard ohne Root, aber mit VPN(lokal).

 

[zcover]

Hi, das ist mein Lieblingwichtigerthread, danke dafür 2018.

Ein Pinning wäre wieder schön.

MfG

zcover

 

[hagex]

wäre wieder schön.

Der ist gepinnt:

Oder versteh ich Dich falsch?
Gruß von hagex