Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

[fireburner]

@zcover siehe meine Sicherheitswarnung in deinem Thread.

 

[ooo]

@zcover - Ich lese hier ab und zu noch mit. Da thematisch inzwischen alles mehrfach "erschlagen" wurde und es auch aktuellere, aktive Informationsquellen gibt (siehe die diversen Links in den Beiträgen dieses Threads) bin ich hier nicht mehr aktiv.

 

[jupp]

Gut Tag zusammen,
komme derzeit nicht so ganz klar mit der afwall (v3.1.0)
Kann mir bitte jemand bei den Einstellungen helfen?

Habe den Eindruck, dass die Einstellungen in dein einzelnen Apps keine Auswirkungen haben, da sie sie funktionieren, obwohl nicht berechtigt.
Bei Skript habe ich jeweils:
iptables -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.222.222:53
iptables -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 208.67.222.222:53

eingetragen.
Bei Regeln

IPv4_Ketten Eingeschaltet
Wenn ich es ausschalte, dann funktioniert kein Netz mehr

Ausgabe-Kette IPv4 eingeschaltet

Weiterleitungskette IPv4 ausgeschaltet.


IPv6-Ketten

IPv6 Unterstützung ausgeschaltet

Nur Ipv6 Ketten überwachen eingeschaltet

Alle weiteren drei Punkte ausgeschaltet.




Experimentell Einstellungen

Start Datenleck beheben eingeschaltet

Interne Verbindungen erlauben eingeschaltet

Unterstützung von Dual Apps eingeschaltet


Binärdateien
IPTables-Binärdatei Auto

BusyBox-Binärdatei integrierte BusyBox

DNS-Proxy

DNS über netd deaktivieren


Dann habe ich in Core folgende aktiviert:

11 Kernel Linus Kernel

1013 Medien – Medienserver

-14 NTP Internet zeitserver

Root Apps mit Root Rechten

1016 VPN VPN Netzwerk



System:

10266 Maps

10048 Medienspeicher. Download-manager

10051 Nachrichten

10082 Uhr

101 149 Youtube

Das wars


Benutzer

Hier habe ich ein paar Apps angeklickt….

Verstehe aber nicht, warum hier Apps funktionieren, die NICHT ausgewählt sind mit
Wlan/Daten/rouming/Orbet


Wer kann helfen?

Danek vorab.

 

[Kyle Katarn]

Nur kurze Gedanken:

1. Mit welchem Editor hast du das Skript erstellt? Info siehe hier. Dort gibt es auch anpassbare Skripte.
2. Eventuell gibt es den DNS-Server unter 208.67.222.222:53 nicht mehr. Probiere mal 46.182.19.48:53 von Digitalcourage, er funktioniert bei mir.
3. Den Ursprungsbeitrag nacheinander und vor allem Punkt 5 in Ruhe durcharbeiten (trotz des Alters des Beitrags stimmen die Hinweise noch). Vorzugsweise anfangs erst mal ohne AFWall+-Skripte. Kleinste Fehler machen sich oft dadurch bemerkbar, dass das Skript nicht funktioniert oder abbricht.

 

[rudolf]

IPv6 Unterstützung ausgeschaltet

Einschalten.

 

[jupp]

Nur kurze Gedanken:

1. Mit welchem Editor hast du das Skript erstellt? Info siehe hier. Dort gibt es auch anpassbare Skripte.
2. Eventuell gibt es den DNS-Server unter 208.67.222.222:53 nicht mehr. Probiere mal 46.182.19.48:53 von Digitalcourage, er funktioniert bei mir.
3. Den Ursprungsbeitrag nacheinander und vor allem Punkt 5 in Ruhe durcharbeiten (trotz des Alters des Beitrags stimmen die Hinweise noch). Vorzugsweise anfangs erst mal ohne AFWall+-Skripte. Kleinste Fehler machen sich oft dadurch bemerkbar, dass das Skript nicht funktioniert oder abbricht.

Danke,
zu 1. das Skript habe ich aus dem Beitrag Punkt 3.2.1


zu.3
bei der aktualisierten afwall+ 3.1.0 igbt es enue Punkte die im Ursprungsbeitrag nicht behandelt werden, daher bin ich mir unsicher, wie Diese einzustellen sind.

zu.2
also dieses eintragen auf beiden Positionen?

iptables -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 46.182.19.48:53
iptables -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 46.182.19.48:53

iptables -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 46.182.19.48:53
iptables -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 46.182.19.48:53

Einschalten.

was soll eingeschaltet werden?

1) IPv6 Unterstützung
2) Ipv6 Ketten überwachen
3) Eingabe Kette (IPv6)
4) Ausgabe-Kette (IPv6)
5) Weiterleitungs-Kette (IPv6)

Danke vorab

 

[rudolf]

IPv6 Unterstützung ausgeschaltet

Und die einschalten.

 

[jupp]

...der lässt immer noch alles durch.
Noch jemand ne Idee?

 

[dodos]

Guten Abend, ich bin bei der AFWall noch Neuling und habe mich an die Reihenfolge von Kuketz-blog gehalten.
Software Version: v3.3.1 (F-Droid Store)

Weiße Liste und keine Skripte bisher extra. Adway läuft nebenbei.
Allerdings klappt die Protokollierung nicht wie unter 3.4 beschrieben. Link

Protokolldienst ist eingeschaltet und Meldungen einblenden aktiviert, aber wenn ich dann das Protokoll selber öffne ist es leer. Es werden keine Daten angezeigt.

Muss der Afwall selber die Erlaubnis zum Netzwerkzugriff gegeben werden? Ich habe es mit und ohne probiert, aber es hat sich nichts geändert.
Danke

 

[flori73]

___

Wenn du etwas ohne root suchst, um Ads zu blocken, dann nimm die Kombination Firefox Klar vom F-Droid App Store und NetGuard von hier als .apk-Download (jüngste "stable" nehmen) und arbeite mit dessen Hosts-Option. - Nicht die Google Play Store-Version und nicht die F-Droid-Version verwenden, diese Versionen haben die Hosts-Option nicht! - Alle anderen Browser deaktivierst/deinstallierst du, wenn du darauf verzichten kannst.

NetGuard-Firewall einrichten - mobilsicher.de
In der Praxis: Firewalls für Android - mobilsicher.de
Mehr Datenkontrolle durch Firewall-App (Android) - mobilsicher.de
___

ist das noch aktuell ? Mein Handy ist ein Realme x2 Pro. (Kein root)
Ziel wäre auch Werbung zu unterbinden.

 

[dodos]

Ohne Root: Netguard, Bockada v3 oder Dns66. (Alles als F-Droid Versionen oder Github) Die erfüllen alle diese Bedigungung und teils mit integriertem Adblocker.

 

[anonymousdark]

Hallo habe versucht die custom-scripts in Af-Wall einzubinden.
bekomme aber immer die Meldung: Fehler beim Anwenden von Iptables-Regeln

einmal start-script

# Flush/Purge all chain
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
#$IP6TABLES -X
#$IP6TABLES -t nat -X
#$IP6TABLES -t mangle -X

# Deny IPv6 connections
#$IP6TABLES -P INPUT DROP
#$IP6TABLES -P OUTPUT DROP

## Block Facebook https://developers.facebook.com/docs/ApplicationSecurity/
## Outgoing Connection
$IPTABLES -A "afwall" -d 31.13.24.0/21 -j REJECT
$IPTABLES -A "afwall" -d 31.13.64.0/18 -j REJECT
$IPTABLES -A "afwall" -d 45.64.40.0/22 -j REJECT
$IPTABLES -A "afwall" -d 66.220.144.0/20 -j REJECT
$IPTABLES -A "afwall" -d 69.63.176.0/20 -j REJECT
$IPTABLES -A "afwall" -d 69.171.224.0/19 -j REJECT
$IPTABLES -A "afwall" -d 74.119.76.0/22 -j REJECT
$IPTABLES -A "afwall" -d 103.4.96.0/22 -j REJECT
$IPTABLES -A "afwall" -d 157.240.0.0/17 -j REJECT
$IPTABLES -A "afwall" -d 173.252.64.0/18 -j REJECT
$IPTABLES -A "afwall" -d 179.60.192.0/22 -j REJECT
$IPTABLES -A "afwall" -d 185.60.216.0/22 -j REJECT
$IPTABLES -A "afwall" -d 204.15.20.0/22 -j REJECT

## Block Google
## Outgoing Connection

$IPTABLES -A "afwall" -d 8.8.4.0/24 -j REJECT
$IPTABLES -A "afwall" -d 8.8.8.0/24 -j REJECT
$IPTABLES -A "afwall" -d 8.34.208.0/20 -j REJECT
$IPTABLES -A "afwall" -d 8.35.192.0/20 -j REJECT
$IPTABLES -A "afwall" -d 23.236.48.0/20 -j REJECT
$IPTABLES -A "afwall" -d 23.251.128.0/19 -j REJECT
$IPTABLES -A "afwall" -d 35.184.0.0/12 -j REJECT
$IPTABLES -A "afwall" -d 35.200.0.0/14 -j REJECT
$IPTABLES -A "afwall" -d 35.204.0.0/15 -j REJECT
$IPTABLES -A "afwall" -d 63.88.73.0/24 -j REJECT
$IPTABLES -A "afwall" -d 64.233.160.0/19 -j REJECT
$IPTABLES -A "afwall" -d 66.102.0.0/20 -j REJECT
$IPTABLES -A "afwall" -d 66.249.64.0/19 -j REJECT
$IPTABLES -A "afwall" -d 70.32.128.0/19 -j REJECT
$IPTABLES -A "afwall" -d 72.14.192.0/18 -j REJECT

# Force  NTP DE ntp0.fau.de (131.188.3.220),  Location: University Erlangen-Nuernberg
#$IPTABLES -t nat -A OUTPUT -p tcp --dport 123 -j DNAT --to-destination 131.188.3.222:123
#$IPTABLES -t nat -A OUTPUT -p udp --dport 123 -j DNAT --to-destination 131.188.3.222:123

# Force DNS (in this Case [OpenDNS](http://www.opendns.com/))
$IPTABLES -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 208.67.220.220:53
$IPTABLES -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.220.220:53

einmal stop-script

#
# /data/local/afwall/afwall-stop-script
#
IPTABLES=/system/bin/iptables
IP6TABLES=/system/bin/ip6tables

# Flush/Purge all rules
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
#$IP6TABLES -F
#$IP6TABLES -t nat -F
#$IP6TABLES -t mangle -F

# Flush/Purge all chains
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
#$IP6TABLES -X
#$IP6TABLES -t nat -X
#$IP6TABLES -t mangle -X

# Deny IPv6 connections
#$IP6TABLES -P INPUT DROP
#$IP6TABLES -P OUTPUT DROP

# Deny IPv4 connections
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP

Bitte um Hilfe.

 

[Kyle Katarn]

Fehler bei Skripten sind ein weites Feld.

Grundlegende Infos zu eigenen Skripten gibt es bei ukanth / afwall - CustomScripts.
Hilfreich ist auch ASN IPFire Script and AFWall+, dort insbesondere ab 3.1 (z.B. Größe des Skripts).
Ansonsten den richtigen Editor nehmen, s. hier, und den Start des Skripts in AFWall+ mit Leerzeichen zwischen . und / beginnen.
Einige Infos gibt es auch beim Kuketz-Blog. Dort steht auch ein Hinweis auf Fehler bei neuen Andoid-Versionen.
AFWall+ soll grundsätzlich auch Android 10 unterstützen.

 

[anonymousdark]

@Kyle Katarn

Habe Notepad++ für die Skripte verwendet
zu Unix konvertiert und als .sh Datei ausgegeben.

AFWall+ mit Leerzeichen zwischen . und / beginnen.

Habe ich gemacht.

Scripte in den afwall-Ordner der SD-Karte gelegt.
Bei Afwall+ unter "Skript festlegen" den Pfad:

. /sdcard/afwall/afwall-start-script

ertes Feld

. /sdcard/afwall/afwall-stop-script

zweites Feld

eingegeben. Bei Tippen aud OK kommt:
Fehler beim Anwenden von Iptables-Regeln

. /storage/sdcrad0/... habe ich auch versucht

 

[MIonix]

Schau mal in Einstellungen > Experimentell > Startverzeichnis für das Script.
Dort kann das Verzeichnis ausgewählt werden. Mit LOS 16 ist es /data/adb/service.d/ > dort das Script ablegen.

 

[VLH]

Guten Abend, ich bin bei der AFWall noch Neuling und habe mich an die Reihenfolge von Kuketz-blog gehalten.
Software Version: v3.3.1 (F-Droid Store)

Weiße Liste und keine Skripte bisher extra. Adway läuft nebenbei.
Allerdings klappt die Protokollierung nicht wie unter 3.4 beschrieben. Link

Protokolldienst ist eingeschaltet und Meldungen einblenden aktiviert, aber wenn ich dann das Protokoll selber öffne ist es leer. Es werden keine Daten angezeigt.

Muss der Afwall selber die Erlaubnis zum Netzwerkzugriff gegeben werden? Ich habe es mit und ohne probiert, aber es hat sich nichts geändert.
Danke

Hallo Dodos,
ich habe ähnliches Problem mit dem leeren Protokol von AFWall+. Hast du den Grund gefunden?
Ich habe AF Wall+ Version v3.4.0. ich habe LineageOS 17.1 instaliert und mehrere Male auch update gemacht. nach den Updates von Juli2020 kommen von AFWall+ keine Benachrichtigungen mehr und das Protokol ist leer.
Danke.

 

[sereksim]

Hat es einen bestimmten Grund, warum hier in der Checkliste Adaway als Werbeblocker verwendet wird und nicht Blokada oder AdGuard?

 

[Dr.No]

Adaway verwendet ebenfalls Root und ist nicht so aufdringlich wie Blockada.

Empfehlungsecke

 

[pixel24]

Hallo zusammen,

ich bin an dem Thema auch interessiert. Bevor ich alles in Ruhe durch lese. Ist die Vorgehensweise noch aktuell? Ich frage nur weil der erste Post ja doch schon eine Weile her ist. Oder wurde die Anleitung auf die aktuellen Systeme angepasst?

Viele Grüße
pixel24

 

[brainstuff]

Dieser Threat zeigt ganz deutlich, dass fast alle Menschen derartig konditioniert sind, dass sie ständig "Umfahrungen" suchen. Es war früher auch so, dass man etwas "zurecht gebiegt" hat und damit hat man dann (oftmals) Erfolg gehabt.

Das Grundproblem wird nie in Angriff genommen .... weil wir, seit Jahrtausenden, den Leuten beibringen, dass sie am Besten, Kerzen anzünden, beten, Verslein aufsagen, Liedlein singen, "zurecht biegen", um das "Unheil" abzuwenden.

Früher war es billiger und vernünftiger, dass man einen krumm eingeschlagenen Nagel, gerade biegt und dann wieder rein schlägt.

Seit vieles von Software abhängig ist, ist es nicht mehr sinnvoll, dass man für den ganzen Shit Notlösungen sucht mit denen man Alles unter den Teppich kehrt.

Die Aufstellung die wir hier finden ist wunderschön und durchaus brauchbar um die Probleme "unter den Teppich zu kehren" und zu "umfahren".

Wir wollen aber endlich von diesen mittelalterlichen Vorstellungen wegkommen. Wir verlangen, dass jedes Programm, jede APP, jede Software, jedes Gerät, sofort nach dem Einschalten, das macht, wozu es geschaffen worden ist. Komplikationen - Zusatzfunktionen (die nicht unbedingt nötig sind), oder Ergänzungen dürfen erst dann angeboten werden, wenn der Nutzer das verlangt und einstellt. Es muss auch einen Knopf geben, der von "Notbetrieb", zum "nutzerdefinierten Modus" und auch zum "alle Funktionen freigeschaltet-Modus", umschalten kann.

Man muss jederzeit auf "Notbetrieb" umschalten können. Das ein "abgesicherter" Betrieb, wo nur die unbedingt nötigen Grundfunktionen abgewickelt werden.

Um das auf Smartphones zu übertragen, muss ein Smartphone, beim ersten Einschalten, sofort die Telefonoberfläche für "Senioren" (= grosse Zifferntasten und Anrufen bzw Anruf annehmen) zeigen. Da müssen dann schon Notrufe möglich sein, ohne dass man da die PIN eingegeben hat.

Dieser Zustand hat dann noch einen Knopf auf dem der Nutzer dann Alles weitgehend an seine Bedürfnisse anpassen kann.

Diesen 2. Grundzustand kann der Nutzer dann als Start Zustand festlegen, dann startet das Telefon beim nächsten Start dann automatisch mit dieser Grundeinstellung. Da müssen dann auch weitere Standard Zustände wählbar sein. Dies bis hin zum "Alle möglichen Funktionen"-Zustand. Jede zusätzliche Funktion muss auch abwählbar sein.

Es muss auch jederzeit möglich sein, dass man bis zum "Notfall-Modus" zurückschaltet, ohne, dass man da irgend etwas kaputt macht.

Ein Smartphone, wo begeisterte, junge Leute den Opas und Omas zeigen müssen, wie sie da wischen, fummeln und basteln müssen ist auch für Leute, die sich auskennen, eine Zumutung: wenn der "Opa" mich dafür lobt, dass ich ihm da schon wieder eine dämliche Umfahrung erfunden habe, dann lobt er mich für meine Dummheit.

Es reicht uns jetzt endgültig: wir brauchen unbedingt möglichst viele Follover, die uns dabei unterstützen, dass wir dafür sorgen, dass Alles so einfach funktioniert, wie es sein muss und die merken, dass es keinen Sinn macht, dass man da ständig "Scheinarbeit" verrichtet und damit unsere Ressourcen und unser Geld vernichtet.

Wir sind sehr aufgebracht darüber, dass es in der Informatik, bis in die höchste Ebene, nur oftmals sehr unbeholfene Bastler und Tüftler hat.

Wenn man sich auch nur die Telefon-Dialer und die Adressverzeichnisse ansieht, die man uns da andreht, dann sieht man, was für unbeholfene Bastler uns das alles zuschustern.

Und noch etwas: es ist zwar sehr lieb und sozial, dass sich im Bereich open source viele Freiwillige einbringen und das machen was ihnen Spass macht und ihnen Hoffnung gibt, dass sie da was "Gutes" tun. Aber das geht nur dann, wenn man sich nur deshalb mit Hilfslösungen zufrieden gibt, weil es halt nichts Besseres gibt.

Im Bereich Open Source müssen wir WELTWEIT zusammenarbeiten und dafür sorgen, dass da auch Leute mitmachen, die nicht in den 80ger Jahren hängengeblieben sind.

Auch im Bereich Schulung, müssen wir endlich lernen, dass hervorragend gemachte Multi-Media Schulungskurse, dafür sorgen müssen, dass Millionen von Lehrern und Professoren, sich aus dem operativen Lehreramt zurückziehen müssen, weil sie damit unsere Ressourcen versauen. Ein Lehrer/Professor ist nur dann zu etwas brauchbar, wenn er perfekte Multi-Media Schulungskurse, für möglichst viele, Lernende produziert, oder wenn er in seinem Kompetenzbereich alles weiterentwickelt. Dauernd alten Kram einer Gruppe von mehr oder weniger begabten Schülern zu erzählen, ist nicht zielorientiert.

Je mehr einfältige ungebildete Deppen wir aufziehen, um so mehr Kriege wird es geben. Das Smartphone darf nicht dazu ausgenutzt werden, dass man sie besser mit Scheinarbeit zumüllen kann.

Danke,
brainstuff