Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

  • 820 Antworten
  • Letztes Antwortdatum
Danke, das scheint es gewesen zu sein. Hat zwar nicht sofort geklappt, aber nach einem Neustart funktioniert das mobile Internet jetzt.
 
Prima. - Der Neustart wäre evtl. nicht nötig gewesen. - Einfach im Einstellungs-Menü der Firewall nochmal Regeln "Anwenden" benutzen (bei aktivierter Firewall). - Dann werden die Regeln nochmals neu angewendet (etwas zeitversetzt). - Aber auch ein Neustart ist nie verkehrt ...
 
Benötige etwas Unterstützung bei der Einstellung eines Skripts
für die DNS-Anfragen in der App AFWall+.

Nach der Eingabe des Skripts in einem extra Profil wird die Firewall deaktiviert und eine Fehlermeldung bzgl. IP-Tables erscheint. Also was habe ich falsch gemacht?

Soll der Skripttext ""# Force specific, iptables......"" usw. "hintereinander" eigegeben werden, dann erscheint nur eine Zeile, oder wie wird ein Zeilenumbruch ohne Enter im Smartphone erzeugt?

Welche Einstellung soll bei IP-Tables vorgenommen werden?

Thema ist sehr neu für mich (mekt man ja). Für allgemeinverständliche Erklärungen wäre ich sehr dankbar.
 
@eldoblo - Hallo und willkommen.

___
Wenn AFWall+ ohne Custom Script funktioniert, ist es ein Fehler im Script.

Wenn die AFWall+ auch ohne Custom Script den Fehler bringt, dann Frage:

Hat deine ROM denn überhaupt iptables?
https://www.android-hilfe.de/forum/...t-geht-afwall.611866-page-4.html#post-8501764

___

Wenn es an einem Fehler im Script liegt, habe ich hier jeweils ein Start- und ein Stop-Script angehängt, welche man in der AFWall+ Firewall versuchsweise benutzen kann.

___
Bitte beachten:

Die beiden Dateien haben die Dateinamen-Erweiterung .txt, weil man hier (dummerweise) keine Dateien ohne Dateinamen-Erweiterung hochladen kann.

Bitte nach dem Herunterladen auf die SD Card kopieren und dann in

  • afwall-start-script
  • afwall-stop-script
umbenennen.

Wichtig:

Bitte die Dateien NICHT unter Windows in einem Text-Editor bearbeiten und NICHT abspeichern, es sei denn, dieser Editor kann mit UNIX/Linux-Dateien umgehen (Die Zeilenschaltungen werden sonst so verändert, dass die Firewall Fehler produziert.). - Ein möglicher Text-Editor für Windows, der das kann, ist z. B. Notepad++.

Auf dem Phone mit einem beliebigen Text-Editor ist dies kein Problem, da die korrekten Zeilenschaltungen automatisch benutzt werden.
___


Warum diese zwei Dateien?

Anstatt mühsam ein längeres Script in den Feldern der "Skript festlegen"-Einstellung (bzw. "Set custom script"-Einstellung) einzutippen, kann man einfach die beiden Dateien benutzen und deren Dateipfad, angeführt von einem Punkt und einem Leerzeichen, in das jeweilige Feld schreiben.

Dies pro Profil extra, aber nur einmalig. - Spätere Änderungen kann man dann einfach in den beiden Dateien (auf dem Phone) mit einem Text-Editor vornehmen. - Die Änderungen werden dann beim nächsten "Anwenden" im jeweiligen Profil wirksam.

___
Das Start-Script enthält u. a. die erzwungene DNS-Server-Einstellung (für Open-DNS) und holt sich Datum und Uhrzeit von einem Zeit-Server einer Universität, anstatt von *irgendwoher* (ist aber mit einer Raute ("#") auskommentiert und damit inaktiv). - Zusätzlich werden bekannte Facebook-IPs geblockt.

Wer bestimmte Regeln nicht möchte, der schreibt einfach eine Raute ("#") an den Anfang der nicht gewünschten Zeilen, um diese Zeilen zu deaktivieren oder löscht die Zeilen komplett. - Zum Aktivieren die Raute am Anfang der Zeile einfach wieder entfernen.

Inhalt Start-Script (Datei afwall-start-script)
Code:
#
# /data/local/afwall/afwall-start-script
#
IPTABLES=/system/bin/iptables
IP6TABLES=/system/bin/ip6tables

# Flush/Purge INPUT rules (All 'afwall' chains/rules gets flushed automatically, before the custom script is executed)
$IPTABLES -F INPUT

# Flush/Purge all chain
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
#$IP6TABLES -X
#$IP6TABLES -t nat -X
#$IP6TABLES -t mangle -X

# Deny IPv6 connections
#$IP6TABLES -P INPUT DROP
#$IP6TABLES -P OUTPUT DROP

## Block Facebook https://developers.facebook.com/docs/ApplicationSecurity/
## Outgoing Connection
$IPTABLES -A "afwall" -d 31.13.24.0/21 -j REJECT
$IPTABLES -A "afwall" -d 31.13.64.0/18 -j REJECT
$IPTABLES -A "afwall" -d 66.220.144.0/20 -j REJECT
$IPTABLES -A "afwall" -d 69.63.176.0/20 -j REJECT
$IPTABLES -A "afwall" -d 69.171.224.0/19 -j REJECT
$IPTABLES -A "afwall" -d 74.119.76.0/22 -j REJECT
$IPTABLES -A "afwall" -d 103.4.96.0/22 -j REJECT
$IPTABLES -A "afwall" -d 173.252.64.0/18 -j REJECT
$IPTABLES -A "afwall" -d 204.15.20.0/22 -j REJECT

# Force  NTP DE ntp0.fau.de (131.188.3.220),  Location: University Erlangen-Nuernberg
#$IPTABLES -t nat -A OUTPUT -p tcp --dport 123 -j DNAT --to-destination 131.188.3.222:123
#$IPTABLES -t nat -A OUTPUT -p udp --dport 123 -j DNAT --to-destination 131.188.3.222:123

# Force DNS (in this Case [OpenDNS](http://www.opendns.com/))
$IPTABLES -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 208.67.220.220:53
$IPTABLES -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.220.220:53
___
Das Stop-Script sorgt dafür, dass, wenn AFWall+ über deren Einstellungen "deaktiviert" wird, überhaupt keine Verbindungen mehr in das Internet gehen. - Wer dies nicht möchte, der benutzt das Stop-Script einfach gar nicht (also das entsprechendes Feld in "Custom Script" einfach leer lassen).

Inhalt Stop-Script (Datei afwall-stop-script)
Code:
#
# /data/local/afwall/afwall-stop-script
#
IPTABLES=/system/bin/iptables
IP6TABLES=/system/bin/ip6tables

# Flush/Purge all rules
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
#$IP6TABLES -F
#$IP6TABLES -t nat -F
#$IP6TABLES -t mangle -F

# Flush/Purge all chains
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
#$IP6TABLES -X
#$IP6TABLES -t nat -X
#$IP6TABLES -t mangle -X

# Deny IPv6 connections
#$IP6TABLES -P INPUT DROP
#$IP6TABLES -P OUTPUT DROP

# Deny IPv4 connections
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
___


Was stellt man jetzt wie ein?

Falls man die beiden Scripte auf der SD Card hat, sollte man sich ein neues Verzeichnis "afwall " anlegen und die beiden Dateien dorthin kopieren.

Die vollständigen Dateipfade wären dann:

  • /sdcard/afwall/afwall-start-script
  • /sdcard/afwall/afwall-stop-script
In den beiden Feldern unter "Skript festlegen" (bzw. "Set custom script") in den Einstellungen von AFWall+ zu einem Profil würden dann folgende Einträge gemacht:
Code:
. /sdcard/afwall/afwall-start-script
und
Code:
. /sdcard/afwall/afwall-stop-script
Oder das zweite Feld leer lassen (siehe oben im Text AFWall deaktivieren)

Wichtig: Zwischen dem Punkt und dem ersten Schrägstrich ist ein Leerzeichen in beiden Feldern.


Mike Kuketz schreibt in seinem Blog ebenfalls noch folgende Tipps zum Thema AFWall+ und Custom Scripts:

Quelle: http://www.kuketz-blog.de/f-droid-und-afwall-android-ohne-google-teil4/

Ergänzung vom 18.01.2015:

Viele von euch habe Probleme mit der Einbindung der Custom-Scripts. Im Folgenden sind die häufigsten Ursachen zusammengefasst:

Aufgrund der unterschiedlichen Zeichencodierungen sollten Windows-User den Notepad++ Editor für die Skripterstellung verwenden und vor der Übertragung auf das Android-Gerät eine EOL (End of Line)-Konvertierung in das Unix-Format vornehmen.

Die korrekte Pfadangabe ist anschließend wichtig, damit das Skript überhaupt geladen werden kann.

AFWall+ scheint auf einigen Geräten ein Problem mit den »virtuellen« Pfaden zu haben.

Anstatt mit dem Pfad

». /storage/emulated/0/WEITERER_PFAD«

könnt ihr es mal mit

». /storage/sdcard0/WEITERER_PFAD«

versuchen.

Der Punkt am Anfang des Skripts und ein Leerzeichen sind dabei ebenfalls zu beachten. Noch dazu können sich die Pfadangaben von Gerät zu Gerät unterscheiden. Einfache Datei-Explorer Apps zeigen euch meist nur den »virtuellen« Pfad zum Speicher an. Mit einer Terminal-App auf dem Gerät oder Remote über adb könnt ihr den korrekten Pfad ausfindig machen.

Entscheidend für das korrekte Laden eures Custom Scripts ist darüber hinaus eine korrekte iptables Syntax.

Deaktiviert in AFWall+ unter »Einstellungen« die IPv6-Unterstützung.

(Siehe Screenshots dazu)
_
 

Anhänge

  • afwall-stop-script.txt
    545 Bytes · Aufrufe: 470
  • Screenshot_2015-03-06-22-04-48.png
    Screenshot_2015-03-06-22-04-48.png
    11,9 KB · Aufrufe: 643
  • Screenshot_2015-03-06-22-06-07.png
    Screenshot_2015-03-06-22-06-07.png
    21 KB · Aufrufe: 634
  • AFWall-Custom-Script-FALSCHE-Zeilenschaltung-unter-Windows-und-Korrektur-in-NotePadPlusPlus.png
    AFWall-Custom-Script-FALSCHE-Zeilenschaltung-unter-Windows-und-Korrektur-in-NotePadPlusPlus.png
    29,3 KB · Aufrufe: 663
  • afwall-start-script.txt
    1,5 KB · Aufrufe: 494
  • AFWall-Custom-Script-RICHTIGE-Zeilenschaltung-unter-Windows-NACH-Korrektur-mit-NotePadPlusPlus.png
    AFWall-Custom-Script-RICHTIGE-Zeilenschaltung-unter-Windows-NACH-Korrektur-mit-NotePadPlusPlus.png
    30,3 KB · Aufrufe: 613
Zuletzt bearbeitet:
  • Danke
Reaktionen: TimiTaps, m505 und mratix
@ooo
ich freue mich über deine schnelle und ausführliche Antwort. Vielen Dank dafür.

Systeminfo/Ist= Stockrom 4.4.2 KK auto root ch, meine alten Skriptversuche wieder gelöscht AFWall läuft (grünes Schild) ohne meine alten Skripteingaben.

Protokolldienst eingeschaltet Meldungen z.B. YouTube wird geblockt erscheint, IP-Tables Binärdatei auf Auto aktiviert.

Firewall-Protokoll zeigt zumindest diverse blockierte Pakete.

Netzwerklog zeigt Facebook-Korrespondenz (böse) an, Netzwerklog läuft aber sehr sensibel erstmal wieder stopp und rootrechte entzogen.

Starte immer nur im Flugzeugmodus bis AFWall aktiviert ist dann F-Modus aus und mobile Daten an.

Phänomen: bei aktivierten mobilen Daten erfolgt nach ca. 15 Sekunden ein automatisches/systembedingtes erneutes aus- und einloggen ersichtlich durch die Balken und der /H+/3G Anzeige (war vor der Installation AFWall nicht, denke es wird fleißig DNS-Traffic erstellt).

Da bin ich wohl mit einem sehr komplexen Thema eingestiegen und habe noch nicht mal "Grundkenntnisse" in der Erstellung eines Skripts.
Na ja, kann nur "schlimmer" werden werden.

Nutze z.Z. nur den Standard Speicher im Smartphone, wäre es also sinnvoll eine neue zusätzliche SD-Card ins Phone zu "schieben".
Somit brauche ich nicht mit "windoof zu hantieren", ok?

Welcher Texteditor ist simpel und kann für diese Zwecke genutzt werden (Empfehlung)? Habe im Moment nur das Office Polaris drauf.

**Nachtrag: sehe gerade das in meinem OI-Notizblock ein Log vorhanden ist, ist das ein angemessenes Werkzeug um Skripte zu bearbeiten oder besser nicht?**

Danke ooo
 
Zuletzt bearbeitet:
@eldoblo - Das liest sich alles bereits sehr gut:

  • AFWall+ funktioniert (ohne Custom Scripts), Blockier-Meldungen
  • iptables wird also benutzt (wir müssen nur noch herausfinden, wo diese liegen im System, dazu weiter unten ...)
  • Netzwerk Log zeigt im Protokoll Einträge/Details (Facebook-Traffic)
Erstmal zu deinen (neuen) Fragen:
___

Welcher Text-Editor?
Als Datei-Editor kannst du auf dem Phone im Prinzip jede App benutzen, die dir erlaubt, Textdateien zu bearbeiten. - Ich benutze gerne den 920 Text Editor (Google Play Store) oder (Direkt-Download bei F-Droid ohne Google) - Vorteile: Syntax-Highlighting für viele Programmier- und Script-Sprachen, Zeilennummern einblendbar, Sonderzeichen, öffnet die letzte verwendete Datei automatisch, wenn so eingestellt, kann System-Dateien bearbeiten (als root), kann Windows-Zeilenschaltungen in UNIX/Linux-Zeilenschaltungen ändern (und umgekehrt), gute Performance - auch bei größeren Dateien. - Aber das ist nur eine Möglichkeit von vielen.
___

Externe SD Card zusätzlich?
Benötigst du nicht für diese Sache. - Du musst nur sicherstellen, dass du die richtigen Pfade zu den Custom Scripts in AFWall+ einträgst, nachdem du diese auf deine interne SD Card kopiert hast.
___

Windows vermeiden?
Klar, das ist dann kein Problem mehr, wenn du auf dem Phone mit dem Editieren von Dateien klar kommst. - Ansonsten kann man ja das Phone mit dem Rechner verbinden und Dateien direkt auf der SD Card mit dem bereits erwähnten Notepad++ editieren.
___

Deine Downloads für die nächsten Schritte:
(Wir müssen irgendwie die iptables-Binary auf deinem Phone finden.)

Android Terminal Emulator
Direkt-Download beim Developer
http://jackpal.github.com/Android-Terminal-Emulator/downloads/Term.apk

Direkt-Download ohne Google Apps bei F-Droid
https://f-droid.org/repo/jackpal.androidterm_66.apk

Download im Google Play Store
https://play.google.com/store/apps/details?id=jackpal.androidterm

Zusätzlich (nur als weitere Option, um grafisch an System-Dateien zu kommen) entweder

CM-Filemanager (Direkt-Download bei F-Droid, auch ohne Google Apps)
https://f-droid.org/repo/com.cyanogenmod.filemanager.ics_1015.apk

oder alternativ

Root Browser
https://play.google.com/store/apps/details?id=com.jrummy.root.browserfree

oder alternativ

ES Datei Explorer (Mit Root-Zugriffs-Möglichkeit)
https://play.google.com/store/apps/details?id=com.estrongs.android.pop


(Diesen bitte NICHT in das Internet lassen. - Eigenes Heimnetzwerk ist aber in Ordnung.)
___

Wir arbeiten jetzt aber mit dem Android Terminal Emulator in der Kommando-Zeile mit einer Linux-Shell:

Also den installierten Android Terminal Emulator öffnen und dann die folgenden Befehle eingeben:
Code:
which iptables
which ip6tables
Das sollte dann in etwa ein solches oder ähnliches Ergebnis liefern:
Android-Terminal-Emulator-iptables-finden-mit-which.png
_

Oder mit find als root (su)
(=> noch intensivere Suche im gesamten System):
Code:
su
find / -iname iptables
Das sollte dann in etwa ein solches oder ähnliches Ergebnis liefern:
Android-Terminal-Emulator-iptables-finden-mit-find.png
_

Mit einem Dateimanager der Root-Zugriff und eine Suchfunktion hat (im Beispiel CM-Filemanager) kann das dann so aussehen:
iptables-finden-mit-Dateiexplorer.png
___

Sollten die gefundenen Pfade nicht den beiden Zeilen in den Scripts entsprechen, so müssen diese dort angepasst werden.

Die Zeilen sind momentan:
Code:
...
IPTABLES=[B]/system/bin/iptables[/B]
IP6TABLES=[B]/system/bin/ip6tables[/B]
...
Bei mir (siehe Screenshot oben mit der Ausgabe von which) ist alles in Ordnung: die Zeilen und die Ausgabe stimmen überein.

Ansonsten:
Custom-Script-Datei öffnen und die Zeilen auf die "Fundorte" ändern, also die Dateipfade korrigieren, abspeichern und in AFWall+ im Profil > Einstellungen > Anwenden benutzen.
___

Wie testet man das jetzt alles?

Ich würde es so machen:

  • SIM einlegen
  • In AFWall+ ein "Nur Mobile Daten"-Profil einrichten bzw. aktivieren
    (In diesem dann die korrekten Pfade zu den Custom-Scripts eintragen; an "Punkt Leerzeichen Schrägstrich ..." denken)
  • Dieses Profil aktivieren und Einstellungen > Anwenden
  • Flugmodus ausschalten
  • W-LAN ausschalten
  • Netzwerklog öffnen und das Logging erstmal deaktivieren
  • Menü > Einstellungen > Allgemeine Optionen > Protokolliere hinter Firewall
  • Menü > Einstellungen > Log Service > Iptables Watchdog > Haken setzen
  • Menü > Einstellungen > Log Service > Protokollieren nach Hochfahren > Haken setzen
  • Menü > Löschen > Alte Einträge "Jetzt" und Haken bei Logdatei löschen > Button [ Löschen ]
  • Mobile Daten einschalten
  • Phone genau in diesem Zustand ausschalten
    _
  • Phone wieder einschalten, SIM-PIN eingeben und 5 Minuten liegen lassen - wirklich nichts machen
  • Dann mit dem Browser kurz surfen, Emails holen, chatten, evtl. andere Sachen mit Internet-Zugriff machen
    _
  • Jetzt Networklog öffnen und im "Apps"-Protokoll auf "(0) root" tappen, um die Liste aufzuklappen: gibt es Einträge mit der IP 208.67.220.220 (bzw. 208.67.222.222) oder dem Domain-Namen von OpenDNS und dem Port 53 (bzw. DNS) der Mobilfunkschnittstelle (z. B. UDP/rmnet0), dann funktioniert alles
Hier exemplarisch zwei Screenshots mit korrektem Verhalten (DNS-Abfragen von "(0) root") - Ich verwende abweichend die IP 208.67.220.220 von OpenDNS (anstatt 208.67.222.222):
_
Korrekte-DNS-Server-Abfrage-beim-Surfen(root).pngKorrekte-DNS-Server-Abfrage-bei-(0)root.png
_
 
Zuletzt bearbeitet:
Hallo,

hoffentlich habe ich nicht den "Faden verloren". Die ".text-Endung" kann ich nicht entfernen und habe den Pfad:

. /storage/emulated/0/AFWall Skripte/afwall-start-script.txt
(mit . und Leertaste)

komplett in das obere und untere Feld im Bereich Skript festlegen bei der AFWall (mit 920 Texteditor, Version 12.11.23/05.12.2012 von F-Droid, deutschen Text kann ich nicht finden) hineinkopiert.

Mit dem Ergebnis das die F-Wall sich deaktiviert und die Fehlermeldung IP-Tables Regel.......angezeigt wird.

Im Terminal-Emulator für which IP/6-Tables erscheint /system/ bin/iptables uoa2.......

Mit Amaze-File-Manager
ist der Pfad für die afwall-start-script.txt Datei: storage/emulated/0/afwallskripte.

IP-Tables Binärdatei steht auf Auto.

Busybox Binärdatei steht auf Integrierte Busybox.

Liegt es an der .text?
Weiß nicht weiter.
 
SD Card und korrekter Dateipfad des Scripts:

Du benutzt
. /storage/emulated/0/AFWall Skripte/afwall-start-script.txt
Bei Leerzeichen im Dateipfad muss man Anführungszeichen setzen:
. "/storage/emulated/0/AFWall Skripte/afwall-start-script.txt"
Unter UNIX/Linux wird - anders als unter Windows - zwischen Groß- und Kleinschreibung unterschieden. - "AFWall Skripte" ist nicht "afwall skripte".

Probiere bitte im ersten Feld
. /storage/emulated/0/afwallskripte/afwall-start-script.txt
Probiere im zweiten Feld
. /storage/emulated/0/afwallskripte/afwall-stop-script.txt

___

Wenn dies nicht funktioniert, dann

Probiere im ersten Feld
. /storage/sdcard0/afwallskripte/afwall-start-script.txt
Probiere im zweiten Feld
. /storage/sdcard0/afwallskripte/afwall-stop-script.txt
___

920 Text Editor:
Sorry für den frei erfundenen deutsch-sprachigen 920 Text Editor, da habe ich wohl etwas verwechselt (ich arbeite meistens mit Englisch auf dem Androiden).

Dateien umbenennen:
Manche Filemanager lassen es nicht zu eine Datei ohne Dateinamen-Erweiterung umzubenennen, wenn nicht als letztes Zeichen ein Punkt benutzt wird.

Beispiel "Umbenennen ohne Erweiterung":

"afwall-start-script.txt" ändern auf "afwall-start-script." (mit Punkt am Ende)

Damit klappt es vielleicht, die Dateien umzubenennen.
Wenn nicht, dann einfach so lassen - auch mit ".txt" am Ende funktionieren die Dateien in AFWall.

Keine Sorge, du bist auf dem Weg ans Ziel. - Einen schönen Start in den Tag ...
 
Zuletzt bearbeitet:
@000

habe alles nochmal gelöscht und neu installiert.
Dank deiner ausführlichen Erklärungen funktioniert der Start-Skript jetzt endlich.

Funktioniert auch mit Dateierweiterung ".txt!

Allerdings ist immer noch die zusätzliche Mobilnetzwerksuche und das damit verbundene ein- und auslog Phänomen seit der installation der AFWall vorhanden.

Aber nicht so wichtig.

Der Graph Netzwerklog zeigt resolver2.opendns an.
Netzwerk-Teillog: ......208.67.220.220,53,10.......UDP.
Die "53" für den Port, ok?


Die "Schülerhilfe" hat funktioniert, kann nun auch mit # im 920-Texteditor arbeiten, Danke
 
@eldoblo - Danke, aber wir sind alle Schüler - bis in den Tod.

Ja, alles, was du beschrieben hast, ist soweit richtig.
Schön, dass du es hinbekommen hast :thumbup:

PS: Was dieses von dir beschriebene Ein-/Auslog-Problem bzw. die Mobilnetzwerksuche sein könnte, weiß ich leider nicht. - Nur geraten, muss nicht stimmen: Vllt. versucht dein Provider aus dem erzwungenem DNS "auszubrechen", um dir seine Einstellungen wieder "unterzuschieben", indem er nochmal die Verbindung kappt (Stichwort dazu: DHCP - DNS Push)? - Wie angedeutet: Wilde Spekulation ...

___


@Timoo

Hi, nach einer Zeile muss man [ Enter ] benutzen.
Nach meiner Dokumentation hat man also 2 Zeilen im ersten Feld unter "Skript festlegen". - Jede Zeile, die mit einem Raute-/Nummernkreuz-Zeichen beginnt, wird nicht verarbeitet, also ignoriert. - Im zweiten Feld funktioniert dies genauso.

Code:
[B][COLOR=Red]Zeile 1[/COLOR][/B] iptables -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.222.222:53 [COLOR=Red][B]ENTER [/B][/COLOR]
[B][COLOR=Red]Zeile 2 [/COLOR][/B]iptables -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 208.67.222.222:53 [B][COLOR=Red]ENTER[/COLOR][/B]
[COLOR=Red][B]Leere Zeile 3[/B][/COLOR]
Du kannst aber auch alles in eine Datei schreiben und dann diese Datei benutzen.
Schau dir dazu das mal an (click)

Timoo schrieb:
Hallo!

Wenn ich die Scripts eingebe, muss ich dann am Ende eines Scripts "Enter" drücken und dann erst das nächste Script? Oder schreibe ich alle Scripts jeweils nur mit einem Leerzeichen gtrennt hintereinander weg?

Danke
 
Zuletzt bearbeitet:
@Timoo

Edit: Ich habe hier auf einen Beitrag von dir geantwortet. - Dieser ist aber jetzt "verschwunden"? - Egal ...

Benutzt du die Dateien oder hast du die Zeilen selber eingetippt?
Wenn du eingetippt hast, kann es an einem Tipp-Fehler liegen.
Das passiert sogar mir ganz schnell.
Es muss wirklich exakt eingegeben werden.

Ich würde jetzt erstmal die beiden Felder unter "Skript festlegen" komplett löschen, dann alle Einstellungen aus dem Start-Posting überprüfen und danach erstmal das Phone neu starten und schauen, dass die Firewall in diesem Zustand korrekt läuft.

Dann die Dateien (afwall-start-script.txt, afwall-stop-script.txt) benutzen, wie in den letzten Beiträgen detailliert beschrieben.

Dass das funktioniert, hat ja @eldoblo gerade "bewiesen", also muss es für dich auch klappen.

(Falls du die Dateien benutzt: Vergiss nicht zu überprüfen, ob deine iptables-Pfade im System und in den Dateien übereinstimmen. - Sonst wird das nichts.)
 
Zuletzt bearbeitet:
Hallo,

Netzwerklog: >Log
nur root und Mailverkehr, das wäre ja ok, weil nur Core-0-root und Benutzer Apps angehakt/zugelassen.

unter Netzwerklog: >App erscheint allerdings:

(1000)-Android-System,
(1000) ANT-Hall-Service,
(1000) Aplicatio-Installer,
(1000) Bluetooth-Test
und weitere 40 Apps.......
mit immer einem Paket und 60Byte?

Text mit: .......west-1.compute.amazonaws.com.......

Wie ist das zu verstehen?
Haben diese Apps alle root?
Nur ohne Haken bei 0-root
läuft ja nix.
 
Gehen da Sachen rein (empfangen) oder raus (gesendet)? - Empfang ist kein Problem.
1000 ist der System-User (Android-System - Das ist NICHT der User "0 root".). - Hast du diesen (1000) in der Firewall freigeschaltet? - Besser nicht.
Die 40 einzelnen Apps mit immer 1000 siehst du, weil diese alle unter dem System-User zusammengefasst wurden (ist das ein Samsung?).
Ich lasse den System-User (1000) nicht in das Internet und muss dann eben auf z. B. "Kombinierte Standortbestimmung" verzichten. - Brauche ich auch nicht.
Wenn du *irgendeine* der 40 Apps mit der ID 1000 rauslässt, dürfen alle raus, das ist das Problem.

Fast vergessen: Der Traffic für eine 1000er App wird bei ALLEN Apps gleichzeitig verbucht, es sind dann nicht zum Beispiel 40 Bytes durchgegangen, sondern nur 1 Byte, welches aber bei allen 40 Apps mit je 1 Byte protokolliert wird.

Noch etwas: Um nur den "echten" Traffic raus (ins Internet) zu protokollieren, musst du in den Einstellungen immer bei "Hinter Firewall protokollieren" einen Haken setzen, sonst siehst du auch den Traffic der das Phone nicht verlässt (also geblockt wird). - Der interessiert aber nicht ...
 
Zuletzt bearbeitet:
Ich empfehle auch keine Internetberechtigung für UID 1000 (Android-System), da haben auch gleich weitere Systemapps Internetzugriff, für welche aber ein Internetzugriff nicht notwendig ist. Unter Lollipop sind es gleich 10 Systemapps.
 
Hallo,

der Modus steht bei allen Profilen "auf ausgesuchte erlauben" und es ist bei keinem Profil der Haken für (1000)-System-User-Android gesetzt.

In der App Netzwerklog nicht im Log, sondern unter dem Appbereich waren die alle mit der gleichen Datenanzeige/menge und dem Text: .......west-1.compute.amazonaws.com.......
aufgeführt!?

Es wird z.B. für Netzwerklog auch root angefordert, so müsste root ja funktionieren.

Kann ich nur weiter beobachten.

Mit dem Amaze-File-Manager würde ich gern den Polaris-Viewer u.a. deinstallieren, zu gefährlich? Der ist sicherlich stark in das System (beginnt mit dem "".-Pfad"")eingebunden.

Warum tauchen eigentlich manche "Apps doppelt" auf?
Bei Einstellungen>Anwendungsmanager>Alle erscheinen z.B Fernzugriff, S-Planer und Software-Update zwei mal.

Würde am liebstem ein anderes ROM installieren um diese vielen nicht genutzten Apss los zu werden. Vielleicht noch ein bischen zu früh.
 
@eldoblo

ooo schrieb:
Gehen da Sachen rein (empfangen) oder raus (gesendet)? - Empfang ist kein Problem.
1000 ist der System-User (Android-System - Das ist NICHT der User "0 root".). - Hast du diesen (1000) in der Firewall freigeschaltet? - Besser nicht.
Die 40 einzelnen Apps mit immer 1000 siehst du, weil diese alle unter dem System-User zusammengefasst wurden (ist das ein Samsung?).
Ich lasse den System-User (1000) nicht in das Internet und muss dann eben auf z. B. "Kombinierte Standortbestimmung" verzichten. - Brauche ich auch nicht.
Wenn du *irgendeine* der 40 Apps mit der ID 1000 rauslässt, dürfen alle raus, das ist das Problem.

Fast vergessen: Der Traffic für eine 1000er App wird bei ALLEN Apps gleichzeitig verbucht, es sind dann nicht zum Beispiel 40 Bytes durchgegangen, sondern nur 1 Byte, welches aber bei allen 40 Apps mit je 1 Byte protokolliert wird.

Noch etwas: Um nur den "echten" Traffic raus (ins Internet) zu protokollieren, musst du in den Einstellungen immer bei "Hinter Firewall protokollieren" einen Haken setzen, sonst siehst du auch den Traffic der das Phone nicht verlässt (also geblockt wird). - Der interessiert aber nicht ...
 
@000

habe wohl ein größeres Problem!

AFWall:
Die (1000)-System-User ist nirgends zugelassen!

14: (NTP) ist nicht zugelassen,
netd ist deaktiviert!

Start- und Stopscript aktiv,
# nur bei den beiden Zeilen im Start-Skript mit den $-zeichen entfernt um Zeitserver-Uni zu nutzen.

Nur Folgende sind im Modus "ausgewählte erlauben" durch Haken gesetzt aktiv:

-10151: Internet (Samsung)
-0: (Root)

und diverse: F-Droid, K-9 Mail usw. (an diesen Benutzer-Apps kann es nicht liegen da beim ersten Test nicht zugelassen).

Hinter Firewall zeigt Netzwerklog wieder (verbotenen) traffic:


gesendet Uni-Erlangen...... 76 bytes
empfangen west1-compute-amazonawas...... 60 bytes,

dies für alle (1000) Apps.

Hat das was mit dem Zeitserver/Browser zu tun? Wie kann ich das unterbinden?
 
@eldoblo

Ich habe kein Samsung mit 4.4.2-ROM hier und du hast hier auch dein Phone (Marke, Modell, Typ) und deinen kompletten ROM-Buildstring (Einstellungen > Über das Telefon > ... ) nicht genannt. (Screenshot?)

Auch hast du meine Frage nicht beantwortet, ob bei den 1000er-User-Apps auch Traffic GESENDET wird oder nur empfangen (nur Empfang ist kein Problem). (Screenshot?)

Deswegen kann ich dir nicht so weiterhelfen, dass es dir etwas nützt.

Die Zeit wird IMMER geholt (mit und ohne Firewall, geblockt und ungeblockt. - Wenn geblockt, dann über das Mobilfunknetz des Providers - Stichwort suchen: NITZ, sonst über die Mobilen Daten = Internet = "-14: NTP"). - Nur den zu benutzenden Zeit-Server kann man kontrollieren (zur Uni erlaubst du es ja wieder, das ist ja okay). - Wenn du das komplett abstellen willst, schau dir das mal an. - Das hat dann aber Nachteile, ich würde es einfach so lassen, wie es ist.

Probier' mal diese App 10151 Internet (Samsung) zu blocken.
Versuchsweise, wenn du das nicht schon blockiert hast, zusätzlich auch "-11: Linux Kernel" o. ä. (ich blockiere das permanent).

Dann mach' den Test nochmal, wie weiter oben von mir beschrieben (oder, wie du das halt machst).
Erzähl' uns das Ergebnis, wenn du soweit bist ... (Screenshot?)

Tipp (an alle): Ein Screenshot von dir in deinen Beiträgen ab und zu wäre übrigens Gold wert ... (das geht z. B. so). - Ich bin zwar nahe dran, Hellsehen zu können, aber noch nicht perfekt ... (joke)

Um Screenshots hochzuladen, schreibst du mit dem Browser einen neuen Beitrag und als erstes klickst du auf den [ Erweitert ] Button unter dem Text-Feld.

Dann hast du weiter unten eine Möglichkeit, Dateien hier hochzuladen (Button [ Anhänge verwalten ]).

Eine andere Möglichkeit ist, auf dem Phone Tapatalk oder die Android-Hilfe-App zu benutzen. - Damit ist es dann ganz easy ...

Weiterer Tipp:
Nur zur Info (evtl. nicht aktuell)
Samsung Apps und kurze Erklärung


Der ursprüngliche Beitrag von 11:19 Uhr wurde um 12:47 Uhr ergänzt:

Noch etwas: Falls du SuperSU von Chainfire oder was Ähnliches benutzt:
Mach die Option "Trust System User" aus und starte das Phone neu.
 
Zuletzt bearbeitet:
Würde am liebstem ein anderes ROM installieren um diese vielen nicht genutzten Apss los zu werden. Vielleicht noch ein bischen zu früh.
Bei Stockroms irgendwelche Systemapps zu deinstallieren führt oft zu Stabilitätsproblemen. Deswegen wärs besser mit AOSP/CM-basierten Roms Afwall laufen zu lassen. Bei CM12 stehen 10 Apps für UID1000, bei Stockroms ca. 40 (deutlich mehr).
 
Hallo 000,

nach einigen Versuchen
liegt die Vermutung nahe, dass
Bluetooth-Test und Bluetooth-Freigabe usw.
ungewollten traffic verschickt.
(evtl. auch die Systemwetterapp)

Die (1000) + (1002) -System-User Variante ist nirgends zugelassen, wird dann aber wie von "Geisterhand" aktiviert und die vielen Systemapps werden mit der gleichen Anzahl von Bytes gefüllt.

Das passiert wenn der Flugzeugmodus ein und wieder ausgeschaltet wird und Mobile Daten eingeschaltet wird. Dann erfolgt auch wieder die Mobilfunk-netzsuche (ISP?).

Bluetooth brauche ich nicht, aber entfernen bringt Stress, oder?
So, weiter weiß ich auch nicht.

@000, danke für die Tips.
 

Anhänge

  • 1425924255127.jpg
    1425924255127.jpg
    2,4 KB · Aufrufe: 526
  • 1425924255267.jpg
    1425924255267.jpg
    2,4 KB · Aufrufe: 517

Ähnliche Themen

M
Antworten
0
Aufrufe
125
martin1111
M
sensei_fritz
Antworten
9
Aufrufe
175
sensei_fritz
sensei_fritz
F
  • Felix76
Antworten
6
Aufrufe
911
Felix76
F
Zurück
Oben Unten