Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

  • 820 Antworten
  • Letztes Antwortdatum
Mit der Kombination (Motos plus LAOS Custom ROM) wirst du keine (ernsthaften) Probleme bekommen.
Deinen Vorschlag an die Entwickler von Net Monitor, die Option einzubauen, finde ich auch gut.
 
  • Danke
Reaktionen: fireburner
Ok, habe alles nach Anleitung gemcht, hat alles geklappt. Aber jetzt habe ich ein kleines "x" beim Netzicon. Ich kann SMS schicken und empfangen, sowie telefonieren. Dennoch bin ich leicht beunruhigt. Kann mir das wer erklären / lösen?
 

Anhänge

  • Screenshot_20180523-072008.png
    Screenshot_20180523-072008.png
    506 KB · Aufrufe: 248
Android nutzt seine eigenen Server, um zu prüfen, ob eine Internet-Verbindung besteht. Da diese blockiert werden, wenn man sich an die Konfiguration hier hält, schlägt die Überprüfung fehl.

Wurde etwas genauer weiter vorn im Thread beschrieben.
 
Ach, war das das mit den DNS Servern? Netzwerktechnik ist noch etwas neu für mich.

Aber wenn ich es richtig verstanden habe, dann müsste auch

Für Internet über mobile Daten (2G/3G) gibt es für das Phone entsprechende Apps (Suche nach "set dns" o. ä.), die aber Root benötigen, um die DNS-Server-IPs zu ändern.

für mich irrelevant sein. Diese Einstellungen habe ich ja vorher schon mit dem Skript gemacht. Richtig so?
 
Rookie19 schrieb:
Aber jetzt habe ich ein kleines "x" beim Netzicon.
Du hast eine Lineage 14.1 ROM installiert. Das Folgende gilt nur für eine LineageOS-ROM.

Nur mit LineageOS-Bordmitteln (14.1) und bereits gerootet (z. B. mit installiertem zur ROM passendem su-Add-on von hier):

(Falls noch nicht erfolgt):
  • Einstellungen > Über das Telefon > 7 x auf Build-Nummer tippen
  • Einstellungen > Entwickleroptionen > Root-Zugriff > Nur Apps (oder Apps und ADB)
  • Einstellungen > Entwickleroptionen > Lokales Terminal > aktivieren
Dann:
  • Apps > Terminal > starten
Eingabe (eventuelle Anfrage auf Root-Zugriff positiv bestätigen):
Code:
su
settings put global captive_portal_mode 0
reboot

Wenn "reboot" das Gerät nicht neu startet, das Gerät einmal aus und wieder an schalten.

Danach kann man sich aber evtl. nicht mehr in fremde öffentliche WLANs einbuchen, die ein Login benötigen. - Das WLAN bei Freunden etc. ist damit nicht gemeint. - Diese privaten WLANs funktionieren i. d. R. weiterhin.

Zurücksetzen kann man das genauso, wie oben beschrieben, gibt dann aber anstatt der "0" eine "1" ein.
___

Rookie19 schrieb:
Diese Einstellungen habe ich ja vorher schon mit dem Skript gemacht. Richtig so?
Ja, ist okay. (Es kommt natürlich darauf an, wie der Inhalt deines Scripts ist ... jeder kann da etwas anderes benutzen ...)
___

Ach so:

Ein (evtl. anderes) "x" bei deinem Mobilfunk-Symbol kann auch angezeigt werden, wenn du die "Mobilen Daten" deaktiviert hast, um dich auf diesen Umstand hinzuweisen ...
 
Zuletzt bearbeitet:
Ok, hat funktioniert. Danke sehr. Aber ich verstehe den Befehl noch nciht so ganz. Dieser Check soll sicher stellen, dass ich Ziele im internet erreichen KANN. Aber wozu das? Genügt doch erstmal sich mit dem AP zu verbinden, oder?

(Die Unterdrückung der eigenen IP und des verwendeten Browsers leuchtet mir ein.)
 
Rookie19 schrieb:
Aber ich verstehe den Befehl noch nciht so ganz.
Der Befehl sorgt dafür, dass sich dein Phone nicht zu einer Google-IP (als Test) verbindet, um heraus zu finden, ob es in das Internet kann oder in einem sogenannten Captive Portal "gefangen" ist (= lokales WLAN, zunächst ohne Zugang in das Internet; z. B. Bezahl-WLAN in einem Hotel). - Mit dem Befehl wird dieser Captive-Portal-Check abgeschaltet. - Ist der Test nicht abgeschaltet, denkt das Phone, dass es nicht in das Internet kann (aufgrund der AFWall+-Einstellungen bzw. Custom Script). - Ist der Test nicht abgeschaltet, hast du deswegen als optischen Indikator das "x" (was eine falsche Anzeige ist und dich verwirrt). - Durch das Abschalten wird der Test nicht durchgeführt und du siehst kein "x" mehr.
___

Siehe auch hier:


und hier (runter scrollen zu Kapitel 7.3.):

 
  • Danke
Reaktionen: Kyle Katarn, Rookie19 und nik
Also glaubt das Phone, dass es sich nicht um einen dieser Services handelt. Alles klar, danke. In der Arbeit haben wir gratis WLAN, da konnte ich mich problemlos verbinden. Da muss man nur auf "Bestätigen" klicken.
 
@ooo
Schreib noch mal bitte kurz dazu dass man das root addon braucht. Wenn andere später deinen sehr guten Beitrag lesen und sich noch nicht richtig auskennen könnte das helfen.
 
rudolf schrieb:
Schreib noch mal bitte kurz dazu dass man das root addon braucht.
Da hast du recht. - Merci.

(Edit: Wobei man das nicht benötigt, wenn man - bei LineageOS, auf das du dich vermutlich(?) beziehst - "Nur ADB" wählt (integriertes root in the shell) & Debugging an, und es über eine ADB root shell macht. - Außerdem muss beim Verwenden von AFWall+ das Device bereits *irgendwie* gerootet sein, wie auch im Start-Posting als Voraussetzung vermerkt. - So unter uns ...)
[doublepost=1527168764,1527162273][/doublepost]Deaktivierung Captive Portal Check exemplarisch (SGS4 vom Kollegen mit LAOS-ROM, nicht gerootet):
deactivate_captive_portal_check_linageos14.1-not_rooted.png
 
  • Danke
Reaktionen: rudolf
zu #756 und #757:
Da ich bisher noch kein Lebenszeichen von den Entwickler/innen von Net Monitor erhielt, habe ich heute an den Webmaster geschrieben. Mal weiter abwarten, ob noch eine Antwort kommt ...

Edit:
Eben fiel mir auf, dass es den Quellcode für Net Monitor bei GitHub gibt.
Da will ich mich aber nicht auch noch (an)melden.
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: Mumford
@000 und co
Wenn Ich einzele IP Addressen entsperren möchte in meinem Afwall ASN Block List, geht das mit:
$IPTABLES -A FORWARD -d XX.XX.XXX.XX -j ACCEPT
?

Danke!
 
@Mumford
Den genauen Syntax findest du unter ukanth/afwall.
(Ich habe damit experimentiert, komme aber nicht immer zum Ziel ...)

Wichtig ist, dass du deinen Befehl auf "afwall" beziehst, wenn du das benutzt.

Es gibt dort z.B.
Code:
# Syntax to block an IP address
[...]
# Example in AFWall+
$IPTABLES -A "afwall" -d 22.22.22.0/21 -j REJECT
Da müsste es beim Erlauben dann "... -j ACCEPT" sein.

Weiterhin gibt es
Code:
# Always allow connections to 192.168.0.1, no matter the interface
$IPTABLES -A "afwall" --destination "192.168.0.1" -j RETURN

Wo nun allerdings der genaue Unterschied zwischen -j ACCEPT und -j RETURN liegt, weiß ich noch nicht.
192.168.0.1 ist eine IP-Adresse im internen Netzwerk, vielleicht liegt dort der Unterschied.
 
  • Danke
Reaktionen: Mumford
@Mumford
Am Ende deines Scripts:
Code:
/system/bin/iptables -I "afwall" -d <HIER_IP-ADRESSE_HINSCHREIBEN> -j ACCEPT
-I bedeutet INSERT, also einfügen. - Eingefügt wird (implizit) an Position 1, vor bereits erstellten Regeln
ACCEPT bedeutet "passieren lassen"
-A (APPEND) bedeutet an der letzen Position in der Kette der Regeln anhängen. Die erste passende Regel "gewinnt", deswegen besser -I (INSERT)​
___

Ein Werkzeug beherrscht man nur, wenn man es versteht. - Deswegen mehrmals lesen und viel üben.

Einfachere Dokumentation:

 
Zuletzt bearbeitet:
  • Danke
Reaktionen: Mumford und Kyle Katarn
ooo schrieb:
Ein Werkzeug beherrscht man nur, wenn man es versteht. - Deswegen mehrmals lesen und viel üben.

So sehe Ich dass normalerweise auch, nur bin Ich schon Monaten beschäftigt mit den Absichern von meinem Telefon von A bis Z, und ab und zu möchte Ich dann ein paar weitere Schritten machen. :)
 
  • Danke
Reaktionen: Kyle Katarn und ooo
Mumford schrieb:
möchte Ich dann ein paar weitere Schritten machen. :)
Lass dir Zeit, ich mache das auch noch nicht sehr lange. - Erst so ca. 25 Jahre ... :biggrin:
 
  • Danke
Reaktionen: heinzl
Zu #771 habe ich aus dem Entwickler-Team von Net Monitor eine Nachricht erhalten:
... Wie schon von Ihnen richtig bemerkt, zeigt die App alle Verbindungsversuche an. Leider ist das auch nicht so einfach umzustellen. Einer der Grundsätze der Privacy Friendly Apps ist die Nutzung von möglichst wenigen Berechtigungen. Die Grundfunktionalität des Net Monitors ist tatsächlich so implementiert, dass die App gar keine Permissions bräuchte. Das hat den Vorteil, dass sie auch noch funktioniert, wenn ihr die Internet-Permission entzogen wird. Diese Permission wird nur für das SSL-Labs-Feature genutzt.

Um die vorgeschlagene Funktionalität zu implementieren müsste die App zwangsläufig die Permission “Netzwerkzugriff” anfordern und die komplette App umgeschrieben werden, um diese Schnittstelle zu nutzen. Im Moment versuchen wir trotz vieler Anfragen von Features für mehrere Apps, die Leitlinie "so wenige Berechtigungen wie möglich verwenden" nicht aufzuweichen. Daher wird die von Ihnen beschreibene Funktionalität in naher Zukunft leider nicht in Net Monitor zur Verfügung stehen. Ich hoffe Sie verstehen diese Entscheidung und finden die App trotzdem nützlich.
Ich kann die Beweggründe gut nachvollziehen, auch wenn ich es schade finde.
 
  • Danke
Reaktionen: Mumford und ooo
Hallo zusammen,

Ich brauche wieder ein bisschen Hilfe.

Newpipe bekommt kein Kontakt mit dem Internet wenn Ich es mit Orbot routen möchte, in Kombination mit meine Afwall-Skripte.

Diese Code von Mike Kuketz habe Ich zu dem Custom Skript gefügt:
# Enable Apps to access Orbot
$IPTABLES -A "afwall" -d 127.0.0.1 -p tcp --dport 9040 -j ACCEPT
$IPTABLES -A "afwall" -d 127.0.0.1 -p udp --dport 5400 -j ACCEPT

# Newpipe » org.schabi.newpipe
npipe=`dumpsys package org.schabi.newpipe | grep userId= | cut -d= -f2 - | cut -d' ' -f1 -`
$IPTABLES -t nat -A OUTPUT -p tcp -m owner --uid-owner $npipe -j DNAT --to-destination 127.0.0.1:9040
$IPTABLES -t nat -A OUTPUT -p udp -m owner --uid-owner $npipe -j DNAT --to-destination 127.0.0.1:5400

# Android Media Server (Default UID: 1013)
$IPTABLES -t nat -A OUTPUT -p tcp -m owner --uid-owner 1013 -j DNAT --to-destination 127.0.0.1:9040
$IPTABLES -t nat -A OUTPUT -p udp -m owner --uid-owner 1013 -j DNAT --to-destination 127.0.0.1:5400

Dann bekomme Ich den Fehler bei Newpipe: Netzwerk Fehler. Dabei ist Orbot in Afwall erlaubt, Newpipe + Mediaserver blokkiert.
Wenn Ich mein ANS block list entferne, Newpipe and Mediaserver in Afwall erlaube: dann lauft es.
Wenn Ich alle Skripts entferne, nur Orbot whiteliste, dann kann Ich mit Newpipe über Orbot aufs Internet!

Afwall gibt auch keine Fehler und die Skripte werden ohne Fehler geladen. Ich verstehe nicht was dann schief geht.

Meine Skripte findet mann hier:
https://forum.xda-developers.com/attachment.php?attachmentid=4525935&d=1528915051
https://forum.xda-developers.com/attachment.php?attachmentid=4525936&d=1528915051
https://forum.xda-developers.com/attachment.php?attachmentid=4525937&d=1528915051
 
ooo schrieb:
Die YouTube-IPs gehören zu Google (YouTube wird von Google betrieben). - Wenn die Google-Adressen alle blockiert werden, ist YouTube nicht erreichbar.

TubeUnblock: Proxy für YouTube

Leider funktioniert es auch nicht, wenn Ich den ASN Skript entferne, und Newpipe über Orbot aufs Internet lasse. Deswegen verstehe Ich es nicht. Die Kombination: ASN Skript entfernen, plus Newpipe & Mediaserver im Afwall erlauben, war nur zum Testen ob Ich Newpipe zum laufen bekamm. Und dabei kann Ich mit Orfox über Orbot, mit ASN block skript, auch auf Youtube kommen.

(Und Ich dachte, die Google/youtube-IPs werden über Orbot nicht direkt geladen, und damit kann Ich sie erreichen, auch mit einem ASN block Skript. Aber so funktioniert es dann leider doch nicht?)
 
Zuletzt bearbeitet:

Ähnliche Themen

M
Antworten
0
Aufrufe
111
martin1111
M
sensei_fritz
Antworten
9
Aufrufe
143
sensei_fritz
sensei_fritz
F
  • Felix76
Antworten
6
Aufrufe
897
Felix76
F
Zurück
Oben Unten