Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

  • 820 Antworten
  • Letztes Antwortdatum
Mumford schrieb:
Fehler: IPFire not found. Logisch. Aber wie installiere Ich IPFire auf ein Linux Live usb?
IPFire brauchst du nicht.

Mach das hier (im Terminal von Linux Mint):
Code:
bash /root/asn_ipfire.sh --afwall "Google,Facebook,Twitter,Oracle,Acxiom"

Dann hast du eine (neue) Datei afwall_rules.txt im aktuellen Verzeichnis (oder in /root/).
Die Datei kommt auf das Smartphone nach z. B. /data/local/afwall/ (oder, wo du deine Custom Scripts hast).
Man kann den Dateinamen natürlich auch ändern.

Dann trägst du das (evtl. zusätzlich) als neue Zeile in den Einstellungen von AFWall+ ein (im Beispiel oben ist das dann ". /data/local/afwall/afwall_rules.txt").

Phone neu starten.
 
@ooo Entschuldigung wenn Ich immer wieder deine Hilfe brauche. Aber es klappt noch nicht ganz. Um alles genau auf zu listen was Ich mache, im Terminal:
Und danach:
bash /root/asn_ipfire.sh --add "Google,Facebook,Twitter,Oracle,Acxiom"
oder
bash /root/asn_ipfire.sh --afwall "Google,Facebook,Twitter,Oracle,Acxiom"
bekomme Ich 'Permission denied.'

Wenn Ich sudo dazu schreibe: 'No such file or directory'. Mache Ich etwas falsch?
 
Mumford schrieb:
Aber es klappt noch nicht ganz
Das zeigt dir den "echten" Pfad des aktuellen Verzeichnisses, in dem du bist (im Linux Mint Terminal):
Code:
pwd
Das zeigt dir den Inhalt des aktuellen Verzeichnisses:
Code:
ls -la
Das hier, ob im aktuellen Verzeichnis die Datei asn_ipfire.sh ist und welche Berechtigungen vergeben sind:
Code:
ls -la asn_ipfire.sh
Wenn die Datei asn_ipfire.sh ausgegeben wird und ausführbar (-rwxr-xr-x) ist, dann ist der korrekte Befehl für dich dieser hier:
Code:
bash asn_ipfire.sh --afwall "Google,Facebook,Twitter,Oracle,Acxiom"
Sollte das nicht funktionieren, dann mit sudo versuchen:
Code:
sudo bash asn_ipfire.sh --afwall "Google,Facebook,Twitter,Oracle,Acxiom"

(Dein "ssh" von oben ist übrigens nicht nötig ...)
 
  • Danke
Reaktionen: Mumford
Ja, jetzt ist es mir gelungen!!!! Und wieder einen herzlichen Dank! :)

Nur wird IP Nummer 172.217.19.68 immer noch nicht geblockt, womit es angefangen hat. Es gehört zu den 172.217.19.0/24 range, und ASN AS151169, aber wird von den Script nicht in den Datei verarbeitet. Mal weiter recherchieren warum dass so ist.
 
Zuletzt bearbeitet:
Installier dir die whois binary mit (Eingabe im Linux Mint Terminal):
Code:
sudo apt install whois
Dann check mal den IP-Range und den Owner der IP mit:
Code:
whois 172.217.19.68
In der Ausgabe suchst du den Wert in der Zeile mit "CIDR:".
Das ist dann in eine neue Zeile in der Datei afwall_rules.txt zu schreiben:
Code:
/system/bin/iptables -A "afwall" -d <HIER_WERT_VON_CIDR_HINSCHREIBEN> -j REJECT
(Kann man mit dem Dateimanager von Linux Mint öffnen (heisst Dateien bzw. Files im Startmenü) mit Maus-Doppelklick auf den Dateinamen afwall_rules.txt - wie bei Windows auch; Terminal ist nicht nötig).
Datei abspeichern, auf das Phone übertragen, AFWall+ einrichten (wenn noch nicht gemacht), Phone neu starten.
 
Mumford schrieb:
gehört er zu den 172.217.19.0/24
172.217.19.0/24 sind die IP-Adressen von 172.217.19.0 bis 172.217.19.255 (also ein range von 256 IPs)
172.217.0.0/16 sind die IP-Adressen von 172.217.0.0 bis 172.217.255.255 (also ein range von 256 * 256 = 65.536 IPs)

172.217.0.0/16 zu sperren ist also "besser" - in beiden Bereichen ist die IP-Adresse 172.217.19.68 enthalten und sollte eigentlich blockiert werden.
___

Du kannst auch die IP einzeln blockieren (mit -I = insert, anstatt -A = append) als letzte Zeile:
Code:
/system/bin/iptables -I "afwall" -d 172.217.19.68 -j REJECT
___

Hier findet man Details zu Custom Scripts (englisch):

___

Frage: Wie merkst du, dass die IP nicht blockiert wird (Aktion|Funktion|App|Log ...)?
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: Kyle Katarn und Mumford
@ooo
ooo schrieb:
Frage: Wie merkst du, dass die IP nicht blockiert wird (Aktion|Funktion|App|Log ...)?

Website besucht: www.nos.nl (niederlandische version ARD)
App: Lineage Browser Jelly
Mehrere IP Adressen werden geladen im Hintergrund, wovon in diesem Fall jetzt eine andere google IP-adresse: 172.217.16.164 (andere Addresse nicht wichtig)
Net Monitor:
USER ID 10048
APP Version 7.1.2
INSTALLED ON: Thu Jan 01 00:00:00 GMT+01:00 2009
Remote Address: 172.217.16.164 (IPv6 translated)
Remote Hex 0000000000000000FFFF0000A410D9AC
Remote Host fra15s11-in-f4.1e100.net
Local Address 192.xxxxxx (IPv6 translated)
Local Hex xxxxxxxxxxxxxxxxxxxxxxxxxxxx

Service port 443
Payload Protocol https
Transport protocol tcp6
Last seen 2018-04-27 18:42:39.659

Simultaneous connections
[...]

Wenn Ich jetzt die beide IP-adressen in dem Browsen eingebe, werden die geblockt.
Wenn die in dem Net Monitor wie oben gelogt sind, heisst es dann, mit die IP Addresse ist dann auch einen Verbindung gemacht?
 
Zuletzt bearbeitet:
Mumford schrieb:
@ooo
ooo schrieb:
Frage: Wie merkst du, dass die IP nicht blockiert wird (Aktion|Funktion|App|Log ...)?

Website besucht: www.nos.nl (niederlandische version ARD)
App: Lineage Browser Jelly

Semi-OT:
Ich benutze neben IceCatMobile insbesondere Fennec F-Droid als Browser.
Jelly nutze ich nicht. Er ist zwar nicht gelöscht oder eingefroren unter LineageOS, hat jedoch keine Verbindung ins Internet, da per AFWall+ gesperrt.

Fennec hat den großen Vorteil, dass er ebenso wie Firefox - auf dem Fennec basiert - mit Firefox-Add-ons insbesondere zur Datensparsamkeit direkt "gepflastert" werden kann, z.B.
- CanvasBlocker
- Cookie AutoDelete
- Decentraleyes
- HTTPS Everywhere
- Smart Referer
- uBlock Origin oder
- uMatrix.

Als grundlegend empfinde ich bei gerooteten Systemen neben AFWall+ auch immer AdAway, um Werbeanzeigen zu verhindern.

Ich habe mit Fennec eben www.nos.nl besucht, jedoch die von dir genannte IP-Adresse nicht von NetMonitor angezeigt bekommen.
Vielleicht solltest du einen anderen Browser als Jelly verwenden, der IMHO auf Chrome und WebView basiert.

Wenn die in dem Net Monitor wie oben gelogt sind, heisst es dann, mit die IP Addresse ist dann auch einen Verbindung gemacht?

Ja, weil die Verbindung nicht bereits zuvor per AdAway oder ASN-Skript (beide auf Systemebene) oder ublock Origin / uMatrix (im Browser) blockiert wurde.
 
Zuletzt bearbeitet:
Kyle Katarn schrieb:
Semi-OT:
Ich benutze neben IceCatMobile insbesondere Fennec F-Droid als Browser.
Jelly nutze ich nicht. Er ist zwar nicht gelöscht oder eingefroren unter LineageOS, hat jedoch keine Verbindung ins Internet, da per AFWall+ gesperrt.

Jelly wird auch nur für Testzwecken benutzt. Fennec oder ähnliches kommt später auf das Handy. Wenn Ich soweit bin, und alles installiert habe, und es funktioniert, werde Ich alles neu auf ein zweites Gerät installieren.

Danke in jedem Fall.

Ja, weil die Verbindung nicht bereits zuvor per AdAway oder ASN-Skript (beide auf Systemebene) oder ublock Origin / uMatrix (im Browser) blockiert wurde.

Hmmmm, dass verstehe Ich dann nicht. Wenn beide Addressen in dem Browser eingegeben werden, dann werden die blockiert (durch ASN Skript). Aber im Net Monitor werden die dann immer noch im Log aufgelistet.
 
@Mumford

Wenn die AFWall+ App beim Start des Phones erst *nach* irgendeiner App (oder irgendeinem Service) gestartet wird, der eine Verbindung zu der Google-IP aufbaut, dann kann das die Firewall nicht verhindern ... (unter LineageOS mit LineageOS su-Add-On als root. Der Data Leak Fix funktioniert dann nicht. - Mit SuperSU und Option afwallstart in /su/su.d/ funktioniert es ...).

Wenn später die AFWAll+ App (der Service) die definierten Custom Scripts ausgeführt hat und die Firewall-Regeln gesetzt hat, dann wird diese IP geblockt ... (siehe manueller Test im Browser).
___

Du benötigst auch neben der afwall_rules.txt noch die iptables_on.sh (als erste Zeile) in den Custom Script Einstellungen der AFWall+ App.

https://www.android-hilfe.de/attachments/screenshot_20180323-100546-png.623034/
 
Zuletzt bearbeitet:
ooo schrieb:
@Mumford

Wenn die AFWall+ App beim Start des Phones erst *nach* irgendeiner App (oder irgendeinem Service) gestartet wird, der eine Verbindung zu der Google-IP aufbaut, dann kann das die Firewall nicht verhindern ... (unter LineageOS mit LineageOS su-Add-On als root. Der Data Leak Fix funktioniert dann nicht. - Mit SuperSU und Option afwallstart in /su/su.d/ funktioniert es ...).
Check, hätte Ich schon gemacht. :)

Wenn später die AFWAll+ App (der Service) die definierten Custom Scripts ausgeführt hat und die Firewall-Regeln gesetzt hat, dann wird diese IP geblockt ... (siehe manueller Test im Browser).
Check. Wird er auch. Aber nicht im Net Monitor.
___

Du benötigst auch neben der afwall_rules.txt noch die iptables_on.sh (als erste Zeile) in den Custom Script Einstellungen der AFWall+ App.
...als erste Zeile.....Dass ist bei mir nicht der Fall. Werde es korrigieren und wieder testen!

Edit: Hat nichts geändert beim Net Monitor. Hat 'IPv6 translated' in dem Log noch etwas zu bedeuten?
 
Zuletzt bearbeitet:
Mumford schrieb:
App: Lineage Browser Jelly
In der Standard-Einstellung geht der Jelly-Browswer von LineageOS beim Öffnen zu Google (Such-Maske als Startpage).
Mumford schrieb:
google IP-adresse: 172.217.16.164 (andere Addresse nicht wichtig)
Das ist dann der Verbindungsversuch zu Google.
Mumford schrieb:
Verbindung gemacht?
Nein.
(Dein IPv6 ist deaktiviert mit dem Kuketz-Script iptables_on.sh.)
___

Du kannst ja wegen dem Net Monitor-Protokoll mal bei den Entwicklern der App nachfragen, wie das läuft und was das zu bedeuten hat? (Ich weiß es nicht.) - Vielleicht protokolliert Net Monitor alles. Auch das, was nicht ins Internet kann?
 
War auch meine Gedanke, also ein Mail war Heute Morgen schon unterwegs. :)


War mich davon schon bewust. Ist beim Testgerät noch nicht sehr wichtig.
 
Zuletzt bearbeitet von einem Moderator:
Bearbeitet von: derstein98 - Grund: Direktzitat entfernt - Bitte Forenregeln beachten @derstein98
  • Danke
Reaktionen: ooo
@ooo und anderen:

Endlich mal ein Antwort von den Entwickler (Net Monitor/Secuso):
Der NetMonitor macht in regelmäßigen Abständen "Snapshots" vom
Netzwerkstack des Geräts. Das heißt alle ausgehenden Pakete werden
aufgenommen. Ich nehme an, dass das Programm, das sie Verwenden[AFWall+), auch
den Netzwerkstack untersucht und dann die Pakete filtert. Das bedeutet,
dass Pakete, die auf dem Netzwerkstack sind, nicht zwangsweise auch
gesendet werden. Also wenn Pakete im NetMonitor angezeigt werden heißt
das nicht, dass auch eine Verbindung stattgefunden hat.

Was ein Netzwerkstack genau bedeutet weiss Ich nicht, aber gut zu wissen das nicht immer eine Verbindung stattfindet.
 
  • Danke
Reaktionen: Kyle Katarn und ooo
Mumford schrieb:
... Das bedeutet, dass Pakete, die auf dem Netzwerkstack sind, nicht zwangsweise auch
gesendet werden. Also wenn Pakete im NetMonitor angezeigt werden heißt
das nicht, dass auch eine Verbindung stattgefunden hat.

Hier zum Netzwerkstack nach dem OSI-Modell.

Früher™, als Network Log noch funktionierte, ließ sich genau das einstellen:
Genau nur die Pakete anzeigen, die auch das Gerät verlassen haben, damit man nicht durcheinander kommt.
Danke für deine Initiative, an die Entwickler zu schreiben.
Ich werde sie heute anschreiben (kontakt@secuso.org), ob genau dieser Zustand implementiert werden kann.
 
  • Danke
Reaktionen: fireburner, ooo und Mumford
Kyle Katarn schrieb:
Ich werde sie heute anschreiben (kontakt@secuso.org), ob genau dieser Zustand implementiert werden kann.

Gute Idee! Es kann sein dass Du kein Antwort bekommst (es ist eine beschlossene Gruppe), melde Dich dann an den Webmaster, warscheinlich wird er diese Mail dann weiter schicken.
 
  • Danke
Reaktionen: Kyle Katarn
Vielen Dank für deinen Hinweis, ich habe die Mail auch schon bekommen:
Your mail to 'SECUSO-core' with the subject

Net Monitor v2.0 von f-droid.org

Is being held until the list moderator can review it for approval.

The reason it is being held:

Post by non-member to a members-only list

Either the message will get posted to the list, or you will receive
notification of the moderator's decision.

Edit:
Ich werde ein paar Tage warten, bevor ich den Webmaster unter website@secuso.org anschreibe ;-)
 
Je nach Phone- bzw. ROM-Hersteller und der Art der Nicht-/Implementierung von Protokoll-Services und binaries, kann es immer Probleme geben. - Selbst Ukanth schreibt zu seiner AFWall+ - gerade für immer wieder problematische Samsung-Geräte:

I excluded lot of samsung devices from free because AFWall+ was not working due to bad implementation of iptables by Samsung.
You can try APK from github for free version or from f-droid.
Quelle:
Playstore - Free & Donate Compatiblity are Different · Issue #752 · ukanth/afwall

(Auch andere Apps - z. B. Monitoring-Apps - können bei "verbraucher-unfreundlichen" Phones/ROMs - evtl. beabsichtigt - Probleme bereiten/bekommen ... Die Apps halten sich an die Standards, der Phone-/ROM-Hersteller leider nicht ...)
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: Kyle Katarn
Vielen Dank auch für deinen Hinweis, @ooo!
Bei mir sind es ein Moto G4 Play (XT1602) und ein Moto E 2015 (XT1524), beide mit LOS 14.1 und nahezu identisch konfiguriert.

Ich möchte von SECUSO gerne wissen, ob die Einstellungsmöglichkeit von Network Log auch bei Net Monitor implementiert werden kann, nämlich nur diejenigen Verbindungen aufzuführen, die auch wirklich das Smartphone verlassen haben.
Network Log benötigte "root", Net Monitor benötigt es nicht.
Eventuell könnte dort ein Knackpunkt liegen.
Mal sehen, ob und welche Antwort ich erhalte ...
 

Ähnliche Themen

M
Antworten
0
Aufrufe
107
martin1111
M
sensei_fritz
Antworten
9
Aufrufe
128
sensei_fritz
sensei_fritz
F
  • Felix76
Antworten
6
Aufrufe
894
Felix76
F
Zurück
Oben Unten