Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

[gene]

Wie kann ich denn prüfen ob der andere dns-server verwendet wird?hab eine ping-app drauf mit dns-funktion, die anzeigen sind aber falsch. Einmal wurde die ip meines routers anzeigt, ich bin aber nicht zu hause und wlan und vpn sind aus.

 

[ooo]

Android Terminal Emulator öffnen (oder erst installieren)

Aufrufen, dann Eingabe (Anfrage Root-Berchtigung für 10 Min. bestätigen):

su
getprop | grep -i dns

Das Ergebnis (bei aktivem W-LAN) sieht dann so oder so ähnlich aus:

[net.change]: [net.dns2]
[net.dns1]: [208.67.220.220]
[net.dns2]: [213.73.91.35]

Entscheidend ist, dass die richtigen IPs der DNS-Server abzulesen sind. - Dann ist alles in Ordnung.

Beim Ändern der DNS-Server-IPs kann es sein, dass man erst einen Neustart machen muss, bevor die Änderung aktiv ist.

Alternativ die App "Network Log" aus dem Start-Posting installieren, einstellen und das Logging aktivieren. - Dann Surfen/Mail holen etc. und danach im Log unter "0: root" nachsehen, zu welchen IPs mit Port 53 (DNS) verbunden wird. - Dort sollten auch die gewünschten DNS-IPs zu sehen sein, sonst stimmt etwas nicht.

 

[gene]

Neustart hab ich schon gemacht. Wenn ich das eingebe kommt

[dhcp.wlan0.dns1]: [10.120.136.116]
[dhcp.wlan0.dns2]: []
[dhcp.wlan0.dns3]: []
[dhcp.wlan0.dns4]: []
[net.change]: [net.dns2]
[net.dns1]: [139.7.30.126]
[net.dns2]: [139.7.30.125]
[net.rmnet0.dns1]: [139.7.30.126]
[net.rmnet0.dns2]: [139.7.30.125]

Bin unterwegs, daher ist WLAN nicht an.

edit
WLAN war an, aber in keinem WLAN eingewählt.

 

[ooo]

Danke für dein Feedback.

Das ist okay so (ich habe das heute gerade unterwegs selbst nochmal getestet & ebenfalls bemerkt). - Es stimmt nur bei W-LAN, bei Mobilen Daten werden die Provider-DNS-Server gesetzt und sind im Terminal zu sehen.

Allerdings eine Ebene "drunter" (iptables rules) sollte es korrekt sein. - Wenn man Network Log benutzt und dort im App-Verbindungs-Protokoll nachsieht (bei "(0) root" => Eintrag 1 x antippen), dann gehen alle DNS-Anfragen (erzwungenermaßen) über den im AFWall-Script eingestellten DNS-Server (IP xxx.xxx.xxx.xxx, Port 53).

Deine "Unterwegs-Werte" sind die bei net.rmnet0.dns1 und net.rmnet0.dns2

 

[gene]

OK, danke für die Erklärung.

 

[gene]

Ich hatte jetzt unerklärlich hohen Traffic über Mobile Daten. Hab mir daher Network Log installiert und so eingestellt wie von dir empfohlen. Leider wird da auch Traffic über WLAN geloggt. Kann man da auch nur die Mobilen Daten loggen lassen?

 

[ooo]

Ich trenne in AFWall+ über zwei (oder mehr) Profile die Anwendungsfälle "W-LAN" und "Mobile Daten". - Also nur Haken in der Spalte 2 (W-LAN) oder Spalte 3 (Mobile Daten). Wenn in "Network Log" dann "Hinter Firewall protokollieren" (im Sinne von "Was ist wirklich durch die Firewall gegangen") angehakt ist, dann sollte man im Protokoll nur den Traffic der entsprechenden Schnittstelle sehen. Evtl. kann man aber auch nur die Filter-Funktionen von "Network Log" benutzen, um interpretierbare Protokoll-Ausschnitte zu erhalten (Stichwort: Interfaces/Schnittstellen)?

 

[wewede]

Hallo,
ich bin neu in diesem Forum.
Ich habe mich jetzt registriert, weil ich mir heute abend die AFWall installiert habe und noch ein großes Funktions-Problem habe.
(Ich habe mich vor dieser Frage auch interessiert durch die ganzen 7 Seiten gelesen, muss aber zugeben, das ich zeitweise nichts verstanden habe - Stichwort Skripte)
Mein Problem: "Fehler beim Anwenden der IPTables Regeln" mit anschließendem Deaktivieren der Firewall (roter Schutzschild).
Ich kann die Firewall recht umständlich nur wieder starten, nachdem ich "AFWall+Einstellungen(alt)" als Verknüpfung auf den Bildschirm gelegt habe. Dort kann ich dann über"Aktivieren" wieder starten (grüner Schild). Allerdings habe ich momentan keinen Internetzugriff, weder mit aktivierter noch deaktivierter Firewall und ob die Wall so funktioniert? Telefonieren und SMS verschicken kann ich.
Häkchen habe ich genau nach Anleitung gesetzt, zusätzlich noch bei Internet (WLAN). Ich habe mir nur ein Profil erstellt.
Details:
Ich habe ein älteres Samsung ACE 1, S5830 i, Android 2.3.6 Gingerbread.
Seit einem halben Jahr gerootet, bislang mit LBEPrivacy als Firewall. (Seitdem ich neulich las, das LBE selber gerne "nach Hause telefoniert", wollte ich gerne auf etwas Besseres umsteigen.)
Das Einrichten von AFWall hat eigentlich gut funktioniert, ich bin genau nach Anleitung vorgegangen. Eine Fehlermeldung kam bei "Einstellungen"-"Firewall-Protokollierung aktivieren": "Kernel fehlt LOG/NFLOG-Unterstützung", ansonsten lief alles glatt.
Kann ich daraus schließen, das mein älteres System dann eben auch mit der restlichen Firewall nicht klar kommt?
(Ich habe per Suchmaschine einen weiteren Hilferufer entdeckt, mit demselben Problem und interessanterweise mit genau dem selben Handy, leider hat er keine Antwort bekommen).
Ich habe mir den einzutippenden Skript-Text nochmal angeschaut, keine Tipp-Fehler gefunden. Da mir die Abstände bei den Leerzeichen relativ weit vorkamen, habe ich probeweise nochmal überall ein weiteres Leerzeichen eingefügt - erfolglos.
Kann es daran liegen, das ich es über die serienmäßige Samsung-Tastatur eingegeben habe? Andererseits sind ja keine ausgefallenen Zeichen drin versteckt.

Ich würde mich über etwas Hilfe freuen:
Alternativ: Falls diese Skript-Geschichte bei meinem Handy nicht funktioniert, gäbe es eine abgespecktere Lösung? Z.B. eben doch über die Google-DNS-Server ( auch wenns mir nicht gefällt), aber zumindest für den Rest eine Firewall?
Oder, falls mein Android einfach zu alt ist, gibts eine empfehlenswerte andere Firewall, die vertrauenswürdig ist? Ich suche und suche, aber es läuft immer wieder auf AFWall hinaus.
Jedenfalls würde ich mich über ein paar hilfreiche Antworten sehr freuen,
danke,
Wolfgang

 

[wewede]

So, ich habe nochmals herumexperimentiert (mit den Einstellungen), aber immer wieder kam der Hinweis auf den IPTables-Fehler.
Da ich das Problem beim (veralteten) Handy sah, habe ich die AFWall heruntergeschmissen.
Alternativ habe ich mir dann die AFWall-Vorgängerversion DroidWall 2.3.4 (also vorletzte Version)installiert, kam damit auch ins Internet und habe mich gefreut, bis ich merkte, das ein kleines Spiel, das ich mir zur LBE-Zeiten geholt hatte, plötzlich Werbung einblendete, was es vorher (dank LBE) noch nie gemacht hat. Um sicher zu sein, das die Werbung nicht aus der wall-freien-Zeit von gestern stammt, habe ich sogar alle Daten inkl.Levels gelöscht, das Spiel gestartet und wieder Werbung gesehen und nach Klick auf den integrierten "f"-Button war ich sogar in Facebook.
Und das, obwohl ich in der Whitelist nur bei WLAN-Internet ein Häkchen gesetzt hatte.
Weil sich die gute Wall beim Öffnen des Menüs anschließend in eine Dauer-"Überprüfe-die Regeln"-Schleife hängte, habe ich sie eben auch wieder gelöscht.
Ich werde wohl oder übel wieder zur LBEPrivacy zurückkehren müssen, dann schnüffelt mich eben statt vieler Apps nur die chinesische Softwarefirma aus.
(Sorry fürs Offtopic)
Wolfgang

 

[Pizzapeter]

Hallo, viel helfen kann ich dir da nicht, aber die Sache mit dem Skript ist doch nur eine Option, und es geht auch ohne da was zu ändern. Als ich mit AFwall angefangen habe, hab (glaube ich) nichts weiter getan, außer einige Apps angehakt. Allerdings hab ich CM11 drauf....

 

[wewede]

Hallo, ich hatte das heute morgen auch probiert, also die Einstellungen zurückgenommen und das Skript gelöscht, aber die Fehlermeldung kam trotzdem.
Interessanterweise habe ich im Internet nicht viel zu dieser Fehlermeldung gefunden, es scheint also kein häufiger Fehler zu sein (ausser dem erwähnten User mit genau dem gleichen Handy).
Von daher vermute ich einfach, das mein Android zu alt ist für diese relativ neue Software. Aber jetzt noch mit dem Flashen und ähnlichem anzufangen, fehlt mir Mut und Zeit.
Ich hätte es aber trotzdem rein interessehalber gewusst, warum es nicht geklappt hat, irgendwann kaufe ich mir ja auch mal wieder ein aktuelleres Handy.
Trotzdem Danke,
Wolfgang

 

[ooo]

@wewede

Protokoll-Funktion:
Deine ROM hat wahrscheinlich keine Log-Funktionalität (oder eine andere - dafür gibt es unter "Einstellungen" Optionen, die aber evtl. auch nicht funktionieren). - Also ausprobieren oder deaktivieren.

Custom Scripts:
Lass mal die Scripte ganz weg und teste das nochmal mit nur einer freigegebenen App (evtl. Browser), die in das Internet darf. - Dann Gegentest mit gesperrter App.
Tipp: Falls du deine Scripte in Dateien hast, achte darauf, dass die Zeilenschaltungen dem UNIX-Format für entsprechen (z. B. unter Windows mit Notepad++ editieren und Zeilenschaltungen der Datei(en) auf UNIX setzen oder direkt mit einem Editor auf dem Phone anlegen und dort editieren).

Allgemein:
AFWall+ funktioniert nur dann, wenn du die Binary "iptables" auf dem Phone hast. - Die Firewall bringt auch vorsorglich eine eigene iptables Binary mit (in den Einstellungen aktivierbar), falls diese auf dem Phone nicht vorhanden sein sollte.

Aber:
Du hast eine relativ alte ROM am Start. - Der Kernel (d)einer ROM muss die iptables Binary auch unterstützen. - Ob das so ist, musst du selbst herausfinden, sorry (z. B. root shell öffnen, iptables -L oder eine neue ganz einfache Regel manuell in der adb shell eingeben, Beispiele gibt es z. B. auf der Entwickler-Seite im Wiki von AFWall+ jede Menge).

Werbung blocken:
Mit AdAway sollte das kein Problem sein, wenn die Werbung NICHT direkt über eine App geladen/angezeigt wird, die in das Internet darf. - Wenn eine App Werbung einblendet und in das Internet darf, kann sie jederzeit Werbung nachladen. - Manche Apps bringen auch fest "eingebaute" Werbung mit. - Also entweder Geiz ist geil + Werbung oder Kaufversion oder blocken/deinstallieren/Alternative.

[...] Mein Problem: "Fehler beim Anwenden der IPTables Regeln" mit anschließendem Deaktivieren der Firewall (roter Schutzschild). [...]

 

[wewede]

@wewede



Custom Scripts:

Tipp: Falls du deine Scripte in Dateien hast, achte darauf, dass die Zeilenschaltungen dem UNIX-Format für entsprechen (z. B. unter Windows mit Notepad++ editieren und Zeilenschaltungen der Datei(en) auf UNIX setzen oder direkt mit einem Editor auf dem Phone anlegen und dort editieren).

Hallo,
prima, das Du dich meldest, danke dafür. Ich werde es am Wochenende gleich nochmal testen, aber:

Könntest Du das mit dem Format irgendwie einfacher ausdrücken? Ich hatte noch nie mit Skripten zu tun und verstehe irgendwie fast gar nichts.
Ich tippe das Skript ja auf der Handytastatur. Wie läuft das mit dem Editor? Was für einen und woher nehmen (auf dem Handy)?

Sei bitte so nett,
vielen Dank,
Wolfgang

 

[ooo]

@wewede

Wenn du in AWall+ die beiden Zeilen aus dem Start-Post korrekt eingegeben hast, kannst du den Tipp wegen der Zeilenschaltung vergessen, weil die App sonst direkt eine Fehlermeldung ausgeben würde.

Eine Zeilenschaltung (Return/Enter/Eingabetaste) ist unter Android (also Linux) anders definiert als unter Windows.
Android (Linux) benutzt dafür das "unsichtbare" Zeichen LF. (LF = Line Feed)
Windows benutzt die "unsichtbaren" Zeichen CR und LF. (CR = Carriage Return)
Wenn man eine Textdatei (z. B. ein Script) mit einem Text-Editor erzeugt, dann muss man das beachten. Dabei ging es im Tipp. - Da du direkt in der App (bzw. auf dem Phone) deine Eingaben machst, kannst du den Tipp ignorieren.

 

[wewede]

[FONT=&quot]

[/FONT][FONT=&quot]@ooo :
Okay, wieder was gelernt, danke.

Noch zwei (vorerst) letzte Fragen, bezogen auf Deine Anleitung auf der ersten Seite:
1.)
DNS-Proxy > DNS über netd deaktivieren (Nicht vergessen: Dann später auch im jeweiligen Profil bei "0: (Root)" und "-11: (Kernel)" den oder die Haken setzen)

Falls ich, wie von Dir gestern vorgeschlagen, die Skripte versuchsweise weglasse, dann muss ich "DNS über netd deaktivieren" nicht machen??

"Erlaube eingehende Verbindungen (Bitte nur aktivieren, wenn man *wirklich* weiß, was man hier aktiviert und was die Konsequenzen sind, da dann von außen auf das Phone zugegriffen werden kann. - Auch, wenn alle Apps komplett blockiert sind, ist das Phone auf bestimmten Ports offen!)"
Ist das jetzt eine echte Option, also kein Muss oder nur der Hinweis auf die Bedeutung dieser Aktion, damit man sich über die Konsequenzen im Klaren ist?

Wäre schön, wenn Du das noch beantworten könntest, damit ich mich übers Wochenende reinknieen kann.[/FONT]

 

[ooo]

DNS-Proxy > DNS über netd deaktivieren
Du kannst die Einstellung auf "Automatisch" machen, da netd erst ab Android 4.3/4.4 existiert.
Das hat auch nichts mit den Scripten zu tun. - Das Script sorgt nur dafür, dass immer ein bestimmter DNS-Server (im Beispiel der von OpenDNS) für die Auflösung von Domain-Namen in IPs benutzt wird.

"Erlaube eingehende Verbindungen"
Nur eine (evtl. riskante) Option und nur nötig, wenn man von außen auf das Phone zugreifen möchte (SSH/SCP, Phone als FTP-Server, Phone als Web-Server; wenn dir diese Begriffe nichts sagen, dann den Haken NICHT setzen).

 

[wewede]

@ooo
So, ich habs nochmal probiert, alle Häkchen nach Vorgaben gesetzt,
Integrierte IPTables und Integrierte Busybox gewählt, DNS-Proxy auf Auto gestellt, aber beim Einschalten der Firewall kam wieder der "Fehler beim Anwenden der IPTables-Regeln".
Unter den Firewall-Regeln zeigt es dann immer an:
command/data/data/dev.ukanth.ufirewall/app_bin/iptables _Aafwall-reject -j REJECT`exited with status 1
Output:
iptables: No chain/target/match by that name

Ich habe dann noch im AFWall-Wiki gesucht, dort fand ich folgende Bedingungen:
Requirements

AFWall+ need this to run at his best:

• An Android OS device with at least the 2.3 (Gingerbread/API level 8, NDK 9) or a higher version.
• Your device must be rooted.
• BusyBox and IPtables (also included as binary in AFWall+ for Kernel/ROM's without it!)
• The Kernel/ROM must have init.d support (for external custom script and data leak fix)!
• The Kernel must have NETFILTER/CONFIG_NETFILTER enabled (adb pull /proc/config.gz - Once you unzip it, you can search for e.g. NETFILTER). AFWall+ also can check it automatically if your Kernel does have support for it.

Die ersten Punkte (Gingerbread 2.3.6, gerootet )erfüllt mein Handy, IPTables und Busybox sollen ja bei der Wall dabei sein und sind angewählt.


init.d support: Dafür habe ich eine app gefunden und installiert, bin mir aber nicht ganz im Klaren, ob sie angenommen wurde-


Aber bei der letzten Anforderung (Netfilter)bin ich dann ausgestiegen, weil mir nicht klar wurde, was ich da machen soll. Irgendwo bin ich an einem Punkt angekommen, der meine Fähigkeiten übersteigt, übrigens genauso wie mit Deinem Hinweis vom 14.Januar zum Überprüfen des Kernels auf IPTables-Fähigkeit.


Ich denke, ich finde mich damit ab, das mein Android ifür AFWall zu veraltet ist und gehe wieder auf LBE zurück.
Besser, nur 1 chinesische Firma spioniert mich aus statt Google und 20 andere Appvertreiber.


Jedenfalls vielen Dank für Deine Bemühungen.
Falls ich noch den Danke-Button finde, werde ich ihn auch noch drücken.

 

[ooo]

@wewede

Schade, dass es nicht zu klappen scheint. - Aber danke, dass du das (auch für andere) hier mal öffentlich durchexerziert hast. - Das wird dem einen oder anderen User bestimmt helfen ...

TIPP: Evtl. kannst du ja mit AdAway o. ä. LBE das Nach-Hause-Telefonieren abgewöhnen. - Dazu musst du aber die Domain-Name(n) und/oder IP-Adresse(n) kennen, um diese entsprechend als zu blocken dort eintragen zu können.

Den Danke-Button findest du ab deinem 10. Beitrag links neben dem Zitieren-Button. - Du hast dich ja bereits mit nützlichem Input "revanchiert" ;-)

 

[katillah]

Erstmal vielen lieben Dank für diese Anleitung (werde ich per Klick nachholen sobald ich darf)

Es funktioniert alles, bis auf dass ich mit den angegebenen DNS-Adressen mich nicht auf meine CAMs verbinden kann (app: IP Cam Viewer). Sobald ich diese rausnehme funktioniert es wunderbar. Nutze als Domain dyndns. Kann mir nicht wirklich erklären wieso das mit/über openDNS-Server nicht funkzt. Kann mich jmd vtl aufklären?! ;-)

Wirklich toll wieviel Macht man über sein schlaues Phone haben kann

 

[ooo]

@katillah

Mit der Web Cam App kenne ich mich nicht aus; es sollte funktionieren.

Probier mal, die Web Cam mit einem Browser zu erreichen (PC im eigenen LAN, fremder PC in fremdem LAN, dann jeweils auf dem Phone).
Probier mal, der IP Cam Viewer App (temporär) alle Haken in AFWall+ zu setzen.
Schau dir dann an, was das aktivierte Firewall-Protokoll evtl. blockiert. - Schau dir Network Log an, was da wohin geht.
Falls du das nicht bereits getan hast: Was passiert, wenn du anstatt OpenDNS z. B. Google DNS-Server benutzt?

Ansonsten frag mal den Developer in seinem Forum.