Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

[ooo]

Mit der Kombination (Motos plus LAOS Custom ROM) wirst du keine (ernsthaften) Probleme bekommen.
Deinen Vorschlag an die Entwickler von Net Monitor, die Option einzubauen, finde ich auch gut.

 

[Rookie19]

Ok, habe alles nach Anleitung gemcht, hat alles geklappt. Aber jetzt habe ich ein kleines "x" beim Netzicon. Ich kann SMS schicken und empfangen, sowie telefonieren. Dennoch bin ich leicht beunruhigt. Kann mir das wer erklären / lösen?

 

[nik]

Android nutzt seine eigenen Server, um zu prüfen, ob eine Internet-Verbindung besteht. Da diese blockiert werden, wenn man sich an die Konfiguration hier hält, schlägt die Überprüfung fehl.

Wurde etwas genauer weiter vorn im Thread beschrieben.

 

[Rookie19]

Ach, war das das mit den DNS Servern? Netzwerktechnik ist noch etwas neu für mich.

Aber wenn ich es richtig verstanden habe, dann müsste auch

Für Internet über mobile Daten (2G/3G) gibt es für das Phone entsprechende Apps (Suche nach "set dns" o. ä.), die aber Root benötigen, um die DNS-Server-IPs zu ändern.

für mich irrelevant sein. Diese Einstellungen habe ich ja vorher schon mit dem Skript gemacht. Richtig so?

 

[ooo]

Aber jetzt habe ich ein kleines "x" beim Netzicon.

Du hast eine Lineage 14.1 ROM installiert. Das Folgende gilt nur für eine LineageOS-ROM.

Nur mit LineageOS-Bordmitteln (14.1) und bereits gerootet (z. B. mit installiertem zur ROM passendem su-Add-on von hier):

(Falls noch nicht erfolgt):

• Einstellungen > Über das Telefon > 7 x auf Build-Nummer tippen
• Einstellungen > Entwickleroptionen > Root-Zugriff > Nur Apps (oder Apps und ADB)
• Einstellungen > Entwickleroptionen > Lokales Terminal > aktivieren

Dann:

• Apps > Terminal > starten

Eingabe (eventuelle Anfrage auf Root-Zugriff positiv bestätigen):

su
settings put global captive_portal_mode 0
reboot

Wenn "reboot" das Gerät nicht neu startet, das Gerät einmal aus und wieder an schalten.

Danach kann man sich aber evtl. nicht mehr in fremde öffentliche WLANs einbuchen, die ein Login benötigen. - Das WLAN bei Freunden etc. ist damit nicht gemeint. - Diese privaten WLANs funktionieren i. d. R. weiterhin.

Zurücksetzen kann man das genauso, wie oben beschrieben, gibt dann aber anstatt der "0" eine "1" ein.
___

Diese Einstellungen habe ich ja vorher schon mit dem Skript gemacht. Richtig so?

Ja, ist okay. (Es kommt natürlich darauf an, wie der Inhalt deines Scripts ist ... jeder kann da etwas anderes benutzen ...)
___

Ach so:

Ein (evtl. anderes) "x" bei deinem Mobilfunk-Symbol kann auch angezeigt werden, wenn du die "Mobilen Daten" deaktiviert hast, um dich auf diesen Umstand hinzuweisen ...

 

[Rookie19]

Ok, hat funktioniert. Danke sehr. Aber ich verstehe den Befehl noch nciht so ganz. Dieser Check soll sicher stellen, dass ich Ziele im internet erreichen KANN. Aber wozu das? Genügt doch erstmal sich mit dem AP zu verbinden, oder?

(Die Unterdrückung der eigenen IP und des verwendeten Browsers leuchtet mir ein.)

 

[ooo]

Aber ich verstehe den Befehl noch nciht so ganz.

Der Befehl sorgt dafür, dass sich dein Phone nicht zu einer Google-IP (als Test) verbindet, um heraus zu finden, ob es in das Internet kann oder in einem sogenannten Captive Portal "gefangen" ist (= lokales WLAN, zunächst ohne Zugang in das Internet; z. B. Bezahl-WLAN in einem Hotel). - Mit dem Befehl wird dieser Captive-Portal-Check abgeschaltet. - Ist der Test nicht abgeschaltet, denkt das Phone, dass es nicht in das Internet kann (aufgrund der AFWall+-Einstellungen bzw. Custom Script). - Ist der Test nicht abgeschaltet, hast du deswegen als optischen Indikator das "x" (was eine falsche Anzeige ist und dich verwirrt). - Durch das Abschalten wird der Test nicht durchgeführt und du siehst kein "x" mehr.
___

Siehe auch hier:

[gelöst dank ooo] falsche Anzeige "Verbunden, kein Internet" mit AfWall+​

und hier (runter scrollen zu Kapitel 7.3.):

Datenschutzfreundliche Apps und Dienste – Android ohne Google?! Teil7​

 

[Rookie19]

Also glaubt das Phone, dass es sich nicht um einen dieser Services handelt. Alles klar, danke. In der Arbeit haben wir gratis WLAN, da konnte ich mich problemlos verbinden. Da muss man nur auf "Bestätigen" klicken.

 

[rudolf]

@ooo
Schreib noch mal bitte kurz dazu dass man das root addon braucht. Wenn andere später deinen sehr guten Beitrag lesen und sich noch nicht richtig auskennen könnte das helfen.

 

[ooo]

Schreib noch mal bitte kurz dazu dass man das root addon braucht.

Da hast du recht. - Merci.

(Edit: Wobei man das nicht benötigt, wenn man - bei LineageOS, auf das du dich vermutlich(?) beziehst - "Nur ADB" wählt (integriertes root in the shell) & Debugging an, und es über eine ADB root shell macht. - Außerdem muss beim Verwenden von AFWall+ das Device bereits *irgendwie* gerootet sein, wie auch im Start-Posting als Voraussetzung vermerkt. - So unter uns ...)
[doublepost=1527168764,1527162273][/doublepost]Deaktivierung Captive Portal Check exemplarisch (SGS4 vom Kollegen mit LAOS-ROM, nicht gerootet):

 

[Kyle Katarn]

zu #756 und #757:
Da ich bisher noch kein Lebenszeichen von den Entwickler/innen von Net Monitor erhielt, habe ich heute an den Webmaster geschrieben. Mal weiter abwarten, ob noch eine Antwort kommt ...

Edit:
Eben fiel mir auf, dass es den Quellcode für Net Monitor bei GitHub gibt.
Da will ich mich aber nicht auch noch (an)melden.

 

[Mumford]

@000 und co
Wenn Ich einzele IP Addressen entsperren möchte in meinem Afwall ASN Block List, geht das mit:

$IPTABLES -A FORWARD -d XX.XX.XXX.XX -j ACCEPT

?

Danke!

 

[Kyle Katarn]

@Mumford
Den genauen Syntax findest du unter ukanth/afwall.
(Ich habe damit experimentiert, komme aber nicht immer zum Ziel ...)

Wichtig ist, dass du deinen Befehl auf "afwall" beziehst, wenn du das benutzt.

Es gibt dort z.B.

# Syntax to block an IP address
[...]
# Example in AFWall+
$IPTABLES -A "afwall" -d 22.22.22.0/21 -j REJECT

Da müsste es beim Erlauben dann "... -j ACCEPT" sein.

Weiterhin gibt es

# Always allow connections to 192.168.0.1, no matter the interface
$IPTABLES -A "afwall" --destination "192.168.0.1" -j RETURN

Wo nun allerdings der genaue Unterschied zwischen -j ACCEPT und -j RETURN liegt, weiß ich noch nicht.
192.168.0.1 ist eine IP-Adresse im internen Netzwerk, vielleicht liegt dort der Unterschied.

 

[ooo]

@Mumford
Am Ende deines Scripts:

/system/bin/iptables -I "afwall" -d <HIER_IP-ADRESSE_HINSCHREIBEN> -j ACCEPT

-I bedeutet INSERT, also einfügen. - Eingefügt wird (implizit) an Position 1, vor bereits erstellten Regeln
ACCEPT bedeutet "passieren lassen"
-A (APPEND) bedeutet an der letzen Position in der Kette der Regeln anhängen. Die erste passende Regel "gewinnt", deswegen besser -I (INSERT)​

___

Ein Werkzeug beherrscht man nur, wenn man es versteht. - Deswegen mehrmals lesen und viel üben.

Einfachere Dokumentation:

Linux IPTABLES HOWTO: iptables-Grundlagen
Linux IPTABLES HOWTO: iptables-Befehle
Linux IPTABLES HOWTO: iptables-Parameter
Linux IPTABLES HOWTO: Erweitert

Linux-Praxisbuch: Linux-Firewall mit IP-Tables – Wikibooks, Sammlung freier Lehr-, Sach- und Fachbücher

Netfilter – Wikipedia​

 

[Mumford]

Ein Werkzeug beherrscht man nur, wenn man es versteht. - Deswegen mehrmals lesen und viel üben.

So sehe Ich dass normalerweise auch, nur bin Ich schon Monaten beschäftigt mit den Absichern von meinem Telefon von A bis Z, und ab und zu möchte Ich dann ein paar weitere Schritten machen.

 

[ooo]

möchte Ich dann ein paar weitere Schritten machen.

Lass dir Zeit, ich mache das auch noch nicht sehr lange. - Erst so ca. 25 Jahre ...

 

[Kyle Katarn]

Zu #771 habe ich aus dem Entwickler-Team von Net Monitor eine Nachricht erhalten:

... Wie schon von Ihnen richtig bemerkt, zeigt die App alle Verbindungsversuche an. Leider ist das auch nicht so einfach umzustellen. Einer der Grundsätze der Privacy Friendly Apps ist die Nutzung von möglichst wenigen Berechtigungen. Die Grundfunktionalität des Net Monitors ist tatsächlich so implementiert, dass die App gar keine Permissions bräuchte. Das hat den Vorteil, dass sie auch noch funktioniert, wenn ihr die Internet-Permission entzogen wird. Diese Permission wird nur für das SSL-Labs-Feature genutzt.

Um die vorgeschlagene Funktionalität zu implementieren müsste die App zwangsläufig die Permission “Netzwerkzugriff” anfordern und die komplette App umgeschrieben werden, um diese Schnittstelle zu nutzen. Im Moment versuchen wir trotz vieler Anfragen von Features für mehrere Apps, die Leitlinie "so wenige Berechtigungen wie möglich verwenden" nicht aufzuweichen. Daher wird die von Ihnen beschreibene Funktionalität in naher Zukunft leider nicht in Net Monitor zur Verfügung stehen. Ich hoffe Sie verstehen diese Entscheidung und finden die App trotzdem nützlich.

Ich kann die Beweggründe gut nachvollziehen, auch wenn ich es schade finde.

 

[Mumford]

Hallo zusammen,

Ich brauche wieder ein bisschen Hilfe.

Newpipe bekommt kein Kontakt mit dem Internet wenn Ich es mit Orbot routen möchte, in Kombination mit meine Afwall-Skripte.

Diese Code von Mike Kuketz habe Ich zu dem Custom Skript gefügt:
# Enable Apps to access Orbot
$IPTABLES -A "afwall" -d 127.0.0.1 -p tcp --dport 9040 -j ACCEPT
$IPTABLES -A "afwall" -d 127.0.0.1 -p udp --dport 5400 -j ACCEPT

# Newpipe » org.schabi.newpipe
npipe=`dumpsys package org.schabi.newpipe | grep userId= | cut -d= -f2 - | cut -d' ' -f1 -`
$IPTABLES -t nat -A OUTPUT -p tcp -m owner --uid-owner $npipe -j DNAT --to-destination 127.0.0.1:9040
$IPTABLES -t nat -A OUTPUT -p udp -m owner --uid-owner $npipe -j DNAT --to-destination 127.0.0.1:5400

# Android Media Server (Default UID: 1013)
$IPTABLES -t nat -A OUTPUT -p tcp -m owner --uid-owner 1013 -j DNAT --to-destination 127.0.0.1:9040
$IPTABLES -t nat -A OUTPUT -p udp -m owner --uid-owner 1013 -j DNAT --to-destination 127.0.0.1:5400

Dann bekomme Ich den Fehler bei Newpipe: Netzwerk Fehler. Dabei ist Orbot in Afwall erlaubt, Newpipe + Mediaserver blokkiert.
Wenn Ich mein ANS block list entferne, Newpipe and Mediaserver in Afwall erlaube: dann lauft es.
Wenn Ich alle Skripts entferne, nur Orbot whiteliste, dann kann Ich mit Newpipe über Orbot aufs Internet!

Afwall gibt auch keine Fehler und die Skripte werden ohne Fehler geladen. Ich verstehe nicht was dann schief geht.

Meine Skripte findet mann hier:
https://forum.xda-developers.com/attachment.php?attachmentid=4525935&d=1528915051
https://forum.xda-developers.com/attachment.php?attachmentid=4525936&d=1528915051
https://forum.xda-developers.com/attachment.php?attachmentid=4525937&d=1528915051

 

[ooo]

Wenn Ich mein ANS block list entferne,

Wenn Ich alle Skripts entferne

Ich verstehe nicht was dann schief geht.

Die YouTube-IPs gehören zu Google (YouTube wird von Google betrieben). - Wenn die Google-Adressen alle blockiert werden, ist YouTube nicht erreichbar.

TubeUnblock: Proxy für YouTube

 

[Mumford]

Die YouTube-IPs gehören zu Google (YouTube wird von Google betrieben). - Wenn die Google-Adressen alle blockiert werden, ist YouTube nicht erreichbar.

TubeUnblock: Proxy für YouTube

Leider funktioniert es auch nicht, wenn Ich den ASN Skript entferne, und Newpipe über Orbot aufs Internet lasse. Deswegen verstehe Ich es nicht. Die Kombination: ASN Skript entfernen, plus Newpipe & Mediaserver im Afwall erlauben, war nur zum Testen ob Ich Newpipe zum laufen bekamm. Und dabei kann Ich mit Orfox über Orbot, mit ASN block skript, auch auf Youtube kommen.

(Und Ich dachte, die Google/youtube-IPs werden über Orbot nicht direkt geladen, und damit kann Ich sie erreichen, auch mit einem ASN block Skript. Aber so funktioniert es dann leider doch nicht?)