Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

  • 820 Antworten
  • Letztes Antwortdatum
O

ooo

Enthusiast
3.449
Wie macht man ein (gerootetes) Android-Smartphone sicherer, BEVOR man das erste Mal ins Internet geht?
Smartphones sind nach dem Auspacken zunächst (mit voller Absicht) nur für Andere smart, weil sie deren Kontostand mit eurem Geld und euren Daten in die Höhe treiben. - Ihr müsst euer neues Phone dazu überreden, für euch zu arbeiten und nicht gegen euch ... Das benötigt Zeit, Geduld, Interesse und Wissen.
Hier findet man eine detaillierte und vollständige Anleitung, die das Phone so absichert, dass man möglichst wenig Daten, Traffic-Volumen, Geld und Zeit verliert, bevor man das erste Mal in das Internet geht.

Tracking und Profiling werden weitgehend eingeschränkt.

Das Ganze soll mit "Bordmitteln" und möglichst wenig Anwendungen erfolgen, die frei verfügbar sind (und optional auch ohne Google Services/Apps).

Hinweise:
Die hier genannten Einstellungen gelten für ein gerootetes KitKat ROM (CM 11 KK 4.4.4), welches den Superuser bereits im Einstellungen-Menü integriert hat. - Die Einstellungen sind bei anderen ROMs/Android-Versionen evtl. entsprechend anders benannt und/oder an anderen Stellen zu finden. - Sie sind aber da.

Andere (gerootete) ROMs benötigen evtl. eine eigenständige Superuser (su) App. - Die Funktionalität ist jedoch immer identisch. - Wenn ein Phone gerootet ist, hat man i. d. R. bereits *irgendeine* Superuser-App installiert und muss nichts weiter unternehmen.

Auf XPosed/XPrivacy/LBE Security/PDroid/AppOps-Lösungen et al. wird hier bewusst nicht eingegangen. CM 11 KitKat 4.4.4 bringt bereits unter "Einstellungen > Datenschutz > Datenschutz" integriert die AppOps (Berechtigungs-Manager) mit. - AppOps (Deaktivierung unerwünschter App-Berechtigungen) sollten in einer beliebigen ROM ebenfalls immer komplett aktiviert (also zunächst temporär App-Berechtigungen deaktiviert/entzogen) werden, wenn verfügbar. - Bitte auch stets für alle System-Apps aktivieren (also zunächst deaktivieren/entziehen).

PS:
Anfragen per PN werden nicht beantwortet. - Die offene Diskussion von Fragen und bei Problemen hier im Thread hilft allen.

Viel Spaß und Erfolg beim Umsetzen!
___

1. Voraussetzungen:

1.1. Einmalig ein bis zwei Stunden Zeit (man schafft es mit etwas Übung auch in unter 10 Minuten)
1.2. Sicherung(en) gemacht - z. B. TWRP/CWM-Backup, Titanium Backup, adb-Backup, sonstige Backups
1.3. Root-bares bzw. bereits gerootetes Phone (Akku geladen)
1.4. USB-Datenkabel (optional)
1.5. Am Rechner formatierte SD Card (nicht schnell-formatiert); wird nicht benötigt, wenn nur eine interne SD Card vorhanden ist

1.6. Optional: Ein mittleres Päckchen Unlust, große Unruhe und keine Konzentrationsfähigkeit (a serious joke)
_
2.1. Vorbereitungen - Teil 1:

Folgende Apps downloaden (Download-Links siehe weiter unten):
  1. AFWall+ Firewall
  2. AdAway Werbeblocker
  3. Optional: Titanium Backup (Datensicherung)
  4. Optional: Network Log (Analyse für Traffic und IP-Destination)

Am Besten als direkten Download über Browser am Rechner von den Entwicklerseiten (Google-Konto/Play Store wird dann nicht benötigt = sehr schön).

Wenn keine externe SD Card vorhanden ist, kann man diese Apps auch erst über den Browser des Phones downloaden und auf der internen SD Card speichern. - Allerdings wird die SD Card später formatiert, so dass man auf jeden Fall mit USB-Datenkabel arbeiten muss, um die .apk-Dateien nach dem Download dann auf den Rechner zu kopieren und später nach der Formatierung wieder zurück auf die SD Card.
_



Downloads

Die folgenden .apk-Dateien (Apps) downloaden und am Rechner auf die leere, formatierte SD Card kopieren (2.1.1. bis 2.1.4.):
2.1.1. AFWall+ Firewall (benötigt root) - diese App ist absolut notwendig

Bei F-Droid (Web-Download, anonym, ohne Konto):
F-Droid
(einen der Links APK herunterladen unter Pakete anklicken; je nach gewünschter Version)

Source-Code vom Developer auf Github (zum selber Kompilieren):
ukanth/afwall · GitHub

Bei Google Play Store

AF Wall+ (free)
AFWall+ (Android Firewall +) latest stable – Android-Apps auf Google Play

AF Wall+ (Donate)
AFWall+ (Donate) – Android-Apps auf Google Play

_
2.1.2. AdAway Werbe-Blocker (benötigt root) - Werbeblocker via hosts-Datei

Bei F-Droid (Web-Download, anonym, ohne Konto):
F-Droid
(einen der Links APK herunterladen unter Pakete anklicken; je nach gewünschter Version)

Source-Code vom Developer auf Github (zum selber Kompilieren):
sufficientlysecure/ad-away · GitHub

Bei Google Play Store
Download nicht möglich, da Google die App entfernt hat (Werbetracking-Firmen, also Googles Kunden und Datensammler mögen solche Apps ja mal gar nicht ;-)

_
2.1.3. Optional: Titanium Backup (benötigt root) - free oder Donate "Pro"-Version, um u. a. z. B. Apps einfrieren zu können

Nur noch im Google Play Store:

Titanium Backup (free)
Titanium Backup ★ root – Android-Apps auf Google Play

Pro (Kauf-Version, Lizenz-Key für Titanium Backup Pro, nach TB free zusätzlich zu installieren)
Titanium Backup PRO Key ★ root – Android-Apps auf Google Play

_
2.1.4. Optional: Network Log (benötigt root) - Datenverkehr detailliert überprüfen

Bei F-Droid (Web-Download, anonym, ohne Konto):
F-Droid (die App wird nicht mehr angeboten)
(einen der Links download.apk unter Packages anklicken; je nach gewünschter Version)

Bei Google Play Store (die App wird nicht mehr angeboten)
Network Log – Android-Apps auf Google Play

___
Edit @ 2018-04-06:

Wenn Network Log nicht (mehr) funktionieren sollte, kann man evtl. Net Monitor ausprobieren:

Download:
Net Monitor | F-Droid - Free and Open Source Android App Repository

Hintergrundinfos vom "Hersteller" dazu:
Privacy Friendly Apps
_
2.2. Vorbereitungen - Teil 2:
  • Das Phone ohne eingelegte SIM und ohne SD Card auf Werkseinstellung zurücksetzen (Resultat: Das Phone war mit seiner neuen Android-ID noch nie im Internet und ist daher unbekannt.)
  • Das Phone ohne eingelegte Karten (SIM/SD Card) rooten, wenn nicht bereits gerootet

Hinweis zur SIM

Sollte man ein ROM haben, dass zwingend eine eingelegte SIM erfordert, muss man die gesamte Prozedur mit eingelegter SIM machen. - Man sollte aber sofort nach dem Einbuchen in das Mobilfunknetz das W-LAN ausschalten und danach den Flugmodus einschalten. - Textstellen, die "ohne SIM" enthalten, sind dann entsprechend als "mit eingelegter SIM" zu interpretieren. - Alles andere gilt weiterhin, wie beschrieben.

Hinweis zur SD Card

Fall 1:
Bei externer SD Card, am Rechner neu formatieren (nicht schnell-formatieren) und die zuvor downgeloadeten .apk-Dateien (Apps) auf die SD Card kopieren
Fall 2:
Bei interner SD Card erst später im Phone selbst formatieren (gleich nach erstem Start; s. u. Einstellungen - Teil 1)
Die .apk-Dateien bei interner SD Card später via USB-Datenkabel vom Rechner auf die interne SD Card kopieren
_
3.1. Einstellungen - Teil 1:

___
Folgendes jetzt noch NICHT machen (kommt alles später):
  • SIM einlegen
  • SD Card einlegen
  • (Automatisch) mit einem W-LAN verbinden
  • Sonstige System-Einstellungen vornehmen
  • System-App-Einstellungen vornehmen
  • Apps installieren und Einstellungen vornehmen
  • Google-Konten anlegen
  • Sonstige Konten anlegen

Warum?

Das Phone soll so isoliert wie möglich und ohne Fremd-Kontakte soweit aufgebaut bzw. eingerichtet werden, dass es später möglichst wenige Angriffsflächen bietet.
___


Es geht los

Das Phone OHNE eingelegte Karten starten und nur Sprache, Zeitzone, Datum/Uhrzeit manuell einstellen

Jetzt folgende Einstellungen vornehmen:
  • Einstellungen > Mobilfunknetze > Daten aktiviert > Haken entfernen (deaktivieren)
  • Einstellungen > Mobilfunknetze > Daten-Roaming > Haken entfernen (deaktivieren)
  • Einstellungen > Datenverbrauch > Menü-Taste > Daten automatisch synchronisieren > Haken entfernen (deaktivieren)
  • Einstellungen > W-LAN > deaktivieren (AUS)
  • Einstellungen > ... > Flugmodus > Haken setzen (aktivieren)

Interne SD Card - Fall 2 (s. o.):
Bei interner SD Card: SD Card jetzt formatieren, mit USB-Datenkabel am Rechner anschließen und die zuvor downgeloadeten .apk-Dateien (Apps) auf die SD Card kopieren

_
3.2. Einstellungen - Teil 2:
  • Nur bei externer SD Card: Phone ausschalten, SD Card mit den zu installierenden Apps einlegen, Phone starten
  • Einstellungen > Sicherheit > Unbekannte Herkunft > Haken setzen (aktivieren)
    (=> nur temporär für die Installation der downgeloadeten Apps)
_
3.2.1. Firewall installieren und einrichten

Auf dem Phone einen Dateimanager öffnen > SD Card > Verzeichnis öffnen, in dem die zuvor downgeloadeten Apps liegen
  • .apk-Datei für AFWall+ Firewall öffnen (installieren)
  • Firewall App starten
  • Root-Berechtigung bei Anfrage permanent erteilen
  • Dann über das Menü der App "Enable Firewall" bzw. "Firewall aktivieren"
    evtl. Sprache auf "deutsch" einstellen (Die Sprache wird umgestellt nach einmaligem Verlassen und wieder öffnen der App)

Folgende weitere Einstellungen im Menü der App vornehmen (Menü-Punkt Preferences bzw. Einstellungen):

Hinweis:

Alle angegebene Einstellungen beziehen sich auf den in den Profilen voreingestellten


"Modus: Ausgewählte erlauben | Whitelist mode | block all"


(Edit 17.09.2015: Die Einstellungen sind für die AFWall+ v1.3.4.1 beschrieben, in neueren Versionen ab v2.0.0 verteilen sich die Punkte über neue Menüs, sind aber leicht wiederzufinden.)

Haken setzen (aktivieren) bei:
  • Benachrichtigungen aktivieren
  • Mitteilungssymbol anzeigen
  • UID anzeigen
  • Aktive Regeln
  • Roaming-Steuerung
  • LAN-Steuereung
  • VPN-Steuerung
  • Bestätigungsfenster aktivieren
  • Firewall-Protokoll aktivieren
  • Geräte-Admin (Den folgenden Dialog dann positiv bestätigen = aktivieren)
  • Start-Datenleck Fix (Das ist besonders wichtig, weil das Phone bereits ca. während der Anzeige der Boot-Animation eine W-LAN-Verbindung aufbaut, noch bevor die Firewall aktiv ist. Apps, die dann vor der Firewall starten, können so Daten in das Internet senden. - Dieser Schalter verhindert auch das. - Die Funktion ist ausgegraut = deaktiviert, wenn man eine ROM hat, die kein init.d (= Init Daemon) besitzt. - Dann hilft es z. B., vor jedem Ausschalten den Flugmodus einzuschalten und nach dem Einschalten zu warten, bis sich die Firewall als aktiv meldet. - Erst dann sollte man den Flugmodus wieder ausschalten.)
    Besitzer eines mit SuperSU gerooteten Motorola Phones und einer Lollipop 5.x.x Stock-ROM können sich evtl. ein fehlendes initd nachinstallieren.
  • Erlaube eingehende Verbindungen (Bitte nur aktivieren, wenn man *wirklich* weiß, was man hier aktiviert und was die Konsequenzen sind, da dann von außen auf das Phone zugegriffen werden kann. - Auch, wenn alle Apps komplett blockiert sind, ist das Phone auf bestimmten Ports offen!)
  • Mehrere Profile
  • Regeln bei Profilwechsel anwenden
  • DNS-Proxy > DNS über netd deaktivieren (Nicht vergessen: Dann später auch im jeweiligen Profil bei "0: (Root)" und "-11: (Kernel)" den oder die Haken setzen)

Jetzt Profil "Standard" aktivieren (es wird dann alles blockiert, weitere Profile für z. B. "W-LAN" oder "3G" können später eingerichtet werden.)
App wieder schließen

Im Menü der Firewall unter Punkt "Skript festlegen" im ersten Feld die folgenden Zeilen eingeben (jede Zeile dabei ohne Enter/Return, Groß- und Kleinschreibung exakt beachten, aber am Ende einer Zeile einmal Enter/Return benutzen, um in eine neue leere Zeile zu kommen.):

Hinweis: Wenn man mit mehreren Profilen arbeitet, dann muss man diese Einstellung in jedem der Profile vornehmen. - Um dies für ein bestimmtes Profil durchzuführen, muss das Profil aktiviert sein.
Code:
iptables -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.222.222:53
iptables -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 208.67.222.222:53
Dann mit [ OK ] bestätigen.

Diese Zeilen bewirken, dass alle DNS-Anfragen immer auf einen OpenDNS-Server gemacht werden. - Erklärung: siehe ganz unten zu Punkt 5. im Text. - Stichworte: Tracking/Profiling/Blocking/Redirection von Google und ISPs.

Tipp: Weiterführende Beispiele für "Custom Script"-Regeln findet man im Wiki des Entwicklers (englisch).
Tipp: Man kann sich auch entsprechende Dateien anlegen und verwenden.

Hinweise zu AFWall+ und den Profilen:
Die AFWall+ Firewall ist die Nachfolgerin von DroidWall Firewall und basiert auf deren Code. - DroidWall ist aber unsicher (u. a. Data leaks at boot time und wird nicht mehr weiter gepflegt). - Also bitte dringend ersetzen.

AFWall+ arbeitet als Service im Hintergrund. - Deswegen sollte man bei Einsatz von Task-Killern (übrigens keine gute Idee) für diesen Service eine Ausnahme aktivieren, sonst kann man sich die ganze Arbeit sparen. - Eine Firewall, die nicht (mehr) läuft, schützt vor gar nichts ....

Man sollte sich ein separates Profil nur für Mobile Daten (Unterwegs, Hotspot, VPN) und ein weiteres nur für W-LAN (Zuhause, Arbeit) anlegen, in dem man dort nur die Apps und Dienste entsprechend freischaltet, die ins Internet sollen und somit das Datenvolumen verbrauchen. - Die App AFWall+ benötigt selbst hierbei grundsätzlich keinerlei Haken (Freischaltungen).

Die blockierten Verbindungen findet man, indem man AFWall+ öffnet > Menü(-Taste) > Firewall-Protokoll

An all diejenigen, die öfter mal die system-Partition wipen, neue ROMs installieren, aber die "data"-Partition entweder behalten oder nach einem Full wipe wieder herstellen:

Wenn in den Einstellungen der Firewall die Option "Start-Datenleck Fix" aktiviert war, wurde dadurch ein sogenanntes Shell-Script in der system-Partition erzeugt (/system/etc/init.d/afwallstart), welches dafür sorgt, dass die iptables rules (das sind die Firewall-Regeln) auf "block all/DROP" gesetzt werden. - Nach dem Flashen einer ROM bzw. der system-Partition einer ROM ist diese Datei NICHT mehr da. - Deswegen muss man erneut die Einstellungen der Firewall öffnen und diesen Option wieder aktivieren. - I. d. R. ist der Haken nicht mehr da und muss nur neu gesetzt werden. - Ist der Haken noch da, bitte einmal entfernen und dann wieder setzen. Zum Überprüfen kann man als "root" mit dem CM Filemanager o. ä. arbeiten und im genannten Verzeichnis nachsehen, ob die Datei existiert. - 2015-02-20:
Oder, nur für fortgeschrittene Android-Anwenderinnenerer, ein "Überlebens"-Script einrichten.

Wo und wann setzt man einen Haken für eine App?
  • Spalte 1: Zugang für die App nur auf Ziele im eigenen (W-)LAN (Local Area Network, kein Zugang über z. B. den W-LAN-Router in das Internet)
  • Spalte 2: Zugang für die App in das Internet über eine aktive W-LAN-Verbindung (eigener W-LAN-Router zuhause, AP in der Firma, freies W-LAN unterwegs, Hotspot, aber, besser verschlüsselt - siehe Spalte 5)
  • Spalte 3: Zugang für die App in das Internet über eine aktive Mobile Daten-Verbindung (3G/2G bzw. HSPA/UMTS/EDGE/GPRS) - Unterwegs, evtl. zusätzlich Spalte 5
  • Spalte 4: wie 3 allerdings befindet sich das Phone in einem (evtl. teuren) Roaming-Netz (Fremd-Netz)
  • Spalte 5: (Zusätzlich zu 1, 2, 3, 4) Verschlüsselter Zugang für die App in das Internet über ein aktives VPN (Virtual Private Network); dies kann über ein W-LAN, ein Mobiles Netz des eigenen ISP (evtl. teuer) oder über ein Roaming-Netz (evtl. noch teurer) erfolgen - ein valider VPN-Account muss erst eingerichtet sein

Nicht in das Internet lassen sollte man die pauschaleren Einträge (soweit vorhanden), es sei denn, man weiß, warum:
  • -10 - Alle Apps
    (Im Modus "Ausgewählte erlauben" würde dies allen Apps Zugang erlauben - keine gute Idee)
  • -11 - Linux Kernel
    (Hier bitte dann doch einen Haken setzen, wenn in den "Einstellungen" unter "DNS-Proxy" die Option "DNS über netd deaktivieren" ausgewählt wird => verhindert ungefragte Verbindungen)
  • ADB
  • 0 - Root
    (Hier bitte dann doch einen Haken setzen, wenn in den "Einstellungen" unter "DNS-Proxy" die Option "DNS über netd deaktivieren" ausgewählt wird => verhindert ungefragte Verbindungen)
  • 1000 - System
  • 2000 - Linux shell
(Also hier keine Haken setzen.)

Grundsätzliche Freischaltungen:

Das absolute Minimum, um in das Internet zu kommen, sieht zunächst so aus:
Screenshot_2014-10-19-17-29-26.pngScreenshot_2014-10-05-14-01-44.png


Wenn das Phone bzw. irgendeine App die Uhrzeit des Phones (über ntp.org) aktualisieren soll, dann aktiviert man (neben der App selbst) im Profil zusätzlich:
  • -14: (NTP)-Internet-Zeitserver
(Das schafft dann die Möglichkeit, über den Port 123 (NTP) die Uhrzeit zu synchronisieren. - Auch die GPS-Navigation kann davon profitieren.)

Wenn irgendeine App eines anderen Phones / Notebooks (via Tethering oder VPN) über das eigene Phone in das Internet soll (Browser, Mail etc.), dann aktiviert man im Profil zusätzlich:
  • -12: DHCP+DNS (Tethering)
(Das verschafft dem anderen Gerät dann die Möglichkeit, eine eigene IP zu erhalten und Domain-Namen in IP-Adressen aufzulösen.)

Wenn irgendeine App etwas downloaden muss (Browser, Mail-Anhänge, YouTube etc.), dann aktiviert man (neben der App selbst) im Profil zusätzlich:
  • Downloads, Medienspeicher, Download-Manager
  • Media server
Für das Senden und den Empfang von SMS/MMS aktiviert man zusätzlich:
  • SMS/MMS
(Sonst ist das nicht nötig.)

Für das Telefonieren über einen SIP/VoIP Account, der in den Einstellungen der Telefon-App hinterlegt ist (Internet-Telefonie) aktiviert man:
  • Telefon
(Sonst ist das nicht nötig. - Z. B. Skype, die Sipgate-App und solche Sachen sind hier nicht gemeint.)

Für das Benutzen eines VPN-Netzwerks aktiviert man zusätzlich:
  • VPN networking
(Das gilt nicht für Apps, wie z. B. OpenVPN, sondern nur für in den System-Einstellungen hinterlegte VPN-Verbindungen.)

Für das Benutzen von GPS (und Download von A-GPS-Daten) aktiviert man (neben der App selbst; z. B. "GPS Status", "Maps", "Öffi") zusätzlich:
  • GPS
  • Kombinierte Standortbestimmung (optional, wenn auch W-LAN-Netze und Mobil-Funk-Sendemasten verwendet werden sollen)
Wer partout nicht auf Google verzichten kann, aktiviert (mindestens für Play Store) zusätzlich folgende Einträge:
  • Setup Wizard
  • Google One Time Initializer
  • Google Account Manager
  • Google Dienste Framework
  • Google Play-Dienste
  • Google Play Store
    _____
  • Google ...
  • ...
___

Tipp:
Vor einer De-Installation von AFWall+ bitte bei aktivierter Netzwerk-Schnittstelle (W-LAN) in deren Einstellungen gehen und
  1. Einstellungen > Firewall deaktivieren
  2. Einstellungen > Firewall Regeln > Menü (drei Punkte, oben rechts) > Regeln erneuern > Abfrage: Löschen? > Button [ Yes ]
  3. Jetzt erst AFWall+ deinstallieren
Dann W-LAN aus, Flugmodus an und Phone neu starten.

_
3.2.2. Werbeblocker installieren und einrichten

Hinweis:
Hierfür wird bereits eine W-LAN-Verbindung benötigt, da Dateien mit den Listen der "bad domains" aus dem Internet heruntergeladen werden. - Es wird ein neues Profil in der Firewall benötigt.
  • Auf dem Phone einen Dateimanager öffnen > SD Card > Verzeichnis öffnen, in dem die zuvor downgeloadeten Apps liegen
  • .apk-Datei für AdAway Werbeblocker öffnen (installieren)
  • Jetzt AdAway App starten, Root-Berechtigung bei Anfrage zeitlich begrenzt erteilen (10 Minuten o. ä.)
  • AdAway kommt dann noch NICHT ins Internet, um zu aktualisieren = okay (Die Firewall verhindert das)


Firewall-App öffnen


Profil umschalten von "Standard" auf "Profil 2" (oben auf "Standard" tippen für die Liste der Profile)

Die folgenden Haken in der Spalte W-LAN (2. Spalte von links, nur Symbol als Überschrift) setzen bei den Einträgen:
  • AdAway
  • Downloads, Medienspeicher, Download-Manager
  • Media server
  • 0: Root
  • -11: Linux
Abschließend das Menü der Firewall öffnen und "Anwenden"

System-Einstellungen (nicht die von AFWall+)
> W-LAN
> Aktivieren (= AN)

Jetzt mit dem gewünschten W-LAN verbinden (eigener W-LAN Router etc.)


AdAway öffnen

Aktualisieren (wenn nicht automatisch ausgelöst)
(Das lädt die Dateien mit den zu blockierenden "bad domains" herunter und stellt daraus eine neue hosts-Datei zusammen; diese Domains werden dann in allen Apps automatisch blockiert => schont das Datenvolumen und den Geldbeutel, schneller surfen, Datenschutz)

Warten und bei Abfrage "Neu starten" => "Nein"
App wieder schließen

System-Einstellungen (des Phones, nicht von AdAway) > W-LAN > Deaktivieren (= AUS)

Firewall öffnen und Profil "Standard" wieder aktivieren (alles blockieren)


Hinweise zu AdAway:

Diese App benötigt nur dann wieder root und Internet, wenn die Liste der "bad domains" aktualisiert werden soll, entsprechende Benachrichtigungen können ignoriert werden. - In AFWall+ können die Haken für Internetzugriff bis zum nächsten Mal entfernt werden. - Wenn man Titanium Backup Pro (Kauf-Version) hat, kann man AdAway auch gleich ganz einfrieren, bis man es wieder benötigt (AdAway startet automatisch beim Start des Phones). - Oder die App deinstallieren.

_
3.2.3. Optional: Datensicherung installieren und einrichten
  • Auf dem Phone einen Dateimanager öffnen > SD Card > Verzeichnis öffnen, in dem die zuvor downgeloadeten Apps liegen
  • .apk-Datei für "Titanium Backup" öffnen (installieren)
  • Titanium Backup starten, Root-Berechtigung permanent erteilen
  • Optional: Evtl. weitere Einstellungen der App vornehmen (über die Menü-Taste > Einstellungen; z. B. Verschlüsselung der Backups etc.)
  • App wieder schließen

Hinweise zu Titanium Backup:

Diese App benötigt nur dann Internet, wenn Sicherungen in der Cloud verwaltet werden sollen; entsprechende Benachrichtigungen können ignoriert werden.

_
3.2.4. Optional: Netzwerk-Analyse installieren und einrichten
  • Auf dem Phone einen Dateimanager öffnen > SD Card > Verzeichnis öffnen, in dem die zuvor downgeloadeten Apps liegen
  • .apk-Datei für "Netzwerk Log" öffnen (installieren)
  • Netzwerk Log starten, Root-Berechtigung permanent erteilen
  • App wieder schließen
Tipps:
  • Netzwerk Log App öffnen > Einstellungen > Log Service > Haken setzen
    Es wird immer ab Start automatisch solange geloggt, bis man dies wieder deaktiviert.
  • Netzwerk Log App öffnen > Einstellungen > Allgemeine Optionen > Protokolliere hinter Firewall > Haken setzen
    Das zeigt dann nur noch die Verbindungen, die das Phone tatsächlich verlassen. - Ansonsten werden auch andere Verbindungen mit-protokolliert.
    (Das Phone kann sich - wie ein Rechner auch - z. B. mit sich selbst verbinden. - Auch das ist Traffic und wird mitgezählt/registriert, obwohl er das Phone nicht verlässt.)

Hinweise zu Netzwerk Log:

Diese App benötigt permanent root und läuft als Service.
(Internet-Zugang wird nicht benötigt = keine Haken in der Firewall zu setzen)

Die App hat über deren vielfältigen Einstellungen die Möglichkeit, bereits ab dem Start des Phones zu loggen. - Mit der App lassen sich alle IPs mit Domänen feststellen, zu denen eine Verbindung hergestellt wird. - Gleichzeitig wird protokolliert, von welcher App, zu welchem Zeitpunkt diese Verbindungen ausgelöst wurden und wieviel Bytes gesendet bzw. empfangen wurden. - Dadurch wird man in die Lage versetzt, entsprechende Apps zu deaktivieren/einzufrieren/löschen, die zuviel Traffic verursachen oder dubiose Verbindungen herstellen. - Auch kann man dadurch die Profile der Firewall optimieren, indem man Apps nicht in das Internet lässt. - Die App sollte solange eingesetzt werden, wie man eine Analyse durchführt. - Anschließend kann man die App deaktivieren, einfrieren oder deinstallieren, um einen Verbraucher weniger im System zu haben.

_
3.3. Einstellungen - Teil 3:
  • System-Einstellungen des Phones > Sicherheit > Unbekannte Herkunft > Haken entfernen (deaktivieren)

Firewall öffnen
  • Wichtig: Profil "Standard" (alles blockieren) aktivieren, wenn noch nicht geschehen
  • Wichtig: Firewall > Menü > Firewall aktivieren (wenn versehentlich aus)
Phone ausschalten, SIM einlegen, Phone starten

Die folgenden Einstellungen kann man nur mit eingelegter SIM (Flugmodus = AUS) machen:
  • Flugmodus AUS
  • Einstellungen > Datenverbrauch > Hintergrunddaten beschränken > Haken setzen (aktivieren)
  • Einstellungen > Datenverbrauch > WLAN-Nutzung anzeigen > Haken setzen (aktivieren)
Die folgenden Einstellungen kann man nur machen, wenn SIM (Flugmodus = AUS) eingelegt ist und Mobile Daten aktiviert sind:
  • Flugmodus AUS
  • Mobile Daten AN
  • Einstellungen > Datenverbrauch > Limit festlegen > Haken setzen (aktivieren)
  • Einstellungen > Datenverbrauch > Datenlimit > Touch auf orange-farbenen Wert > Warnung festlegen > xxxx MiB
  • Einstellungen > Datenverbrauch > Datenlimit > Touch auf roten Wert > Limit festlegen > xxxx MiB
_
4. Aufräumen (optional)
  • SD Card wieder löschen/formatieren (natürlich nur dann, wenn lediglich die hier installierten Apps auf der SD Card sind)
  • Titanium Backup öffnen und eine komplette Datensicherung (alle Apps, alle Daten) des aktuellen Zustands des Phones machen
  • Reboot ins Recovery
  • Wipe Cache
  • Wipe Dalvik cache
  • Phone ausschalten

_
5. Ein Wort zu Google- bzw. Provider-DNS

Viele wissen es, andere noch nicht: Das Phone benötigt, um in das Internet zu kommen sogenannte DNS-Server-Adressen (IPs). Unter diesen Adressen kann das Phone nachschlagen, welche IP-Adresse eine Domain hat, um dann z. B. die entsprechende Webseite zu öffnen, Mails vom Mail-Server zu holen, Google-Daten zu synchronisieren etc.

Als Beispiel:
Google-DNS hat die IP-Adressen 8.8.8.8 und 8.8.4.4
Der ISP (Internet Service Provider) hat irgendwas anderes (sein eigenes DNS, mit dem er die gelieferten Inhalte kontrollieren kann = schlecht)

Meistens sind hier entweder die DNS-Server von Google oder aber die des Internet-/Telefon-Providers eingetragen.
Das ist in jedem der beiden Fälle nicht empfehlenswert. - Warum?

Wenn alle Anfragen an die Google-DNS-Server gehen, kann Google ein lückenloses Anfrage-Protokoll erstellen und somit sehen, für was sich das Phone alles so interessiert (also die Person, die das Phone benutzt).

Wenn Anfragen an einen ISP-DNS-Server gehen, trifft das für Google Gesagte zu und zusätzlich kann der ISP die gelieferten Inhalte verändern (Werbung einblenden, einfach auf eine nicht beabsichtigte Seite umleiten oder erst gar nichts liefern, also die Seite blockieren etc.).

Wenn man das beides nicht möchte, sollte man die IPs der eingestellten DNS-Server kontrollieren bzw. ändern.

Beispielsweise auf:
DNS 1: 208.67.220.220 oder 208.67.222.222
DNS 2: 213.73.91.35

Das sind nur Beispiele für freie, nicht zensierende, neutrale DNS-Server. Der erste ist von OpenDNS, der zweite vom CCC (Chaos Computer Club); DNS 2 ist als Ersatz gedacht, wenn der Server unter DNS 1 mal nicht erreichbar ist.

Damit hat man auch neutrale DNS-Server in Verwendung und wird nicht von Google oder dem eigenem ISP DNS-seitig getrackt/mit gefälschten Inhalten beliefert (Redirection/Umleitung oder gar geblockte Website).

Für W-LAN kann man das in den Einstellungen der W-LAN-Verbindung (Erweiterte Optionen > Statisch > DNS 1 und 2)
Wenn das W-LAN zuhause benutzt wird, kann man das evtl. auch zentral im Router eintragen (wenn dieser die Funktion hat). - Dann gilt dies auch für alle Rechner/Phones, die in diesem W-LAN sind (falls diese nicht explizit eigene DNS-Server eingetragen haben).

Für Internet über mobile Daten (2G/3G) gibt es für das Phone entsprechende Apps (Suche nach "set dns" o. ä.), die aber Root benötigen, um die DNS-Server-IPs zu ändern.

_


___

Tipp zu DNS und AFWall+:

Wer etwas noch Zentraleres auf dem gerooteten Phone haben möchte, der kann auch AFWall+ verwenden und dort im Menü Einstellungen unter Punkt "Skript festlegen" im ersten Feld die folgenden Zeilen (jede Zeile dabei ohne Enter/Return immer weiter schreiben, Groß- und Kleinschreibung exakt beachten, aber am Ende einer Zeile einmal Enter/Return benutzen, um in eine neue leere Zeile zu kommen.) eintragen und mit [ OK ] bestätigen:
Code:
iptables -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.222.222:53
iptables -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 208.67.222.222:53
"208.67.222.222" (hier also OpenDNS) ist zu ersetzen mit der IP-Adresse des gewünschten (zu verwendenden) DNS-Servers.
Das Phone bei einer Änderung neu starten, um den DNS-Cache zu löschen und die Einstellung zu aktivieren.

Hinweis: Wenn man mit mehreren Profilen arbeitet, dann muss man diese Einstellung in jedem der Profile vornehmen. - Um dies für ein bestimmtes Profil durchzuführen, muss das Profil aktiviert sein.

Tipp: Weiterführende Beispiele für "Custom Script"-Regeln findet man im Wiki des Entwicklers (englisch).
Tipp: Man kann sich auch entsprechende Dateien anlegen und verwenden.


Diese Einstellung sorgt dafür, dass immer (bei W-LAN und auch bei Mobilen Daten über 3G/2G) der gewünschte DNS-Server benutzt wird.

_
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: Rhinos, NooneR, MrT69 und 46 andere
Diese Art von Bäträgen könnte es mehr geben! Echt klasse! (kanns nicht oft genug sagen)

Ein ebenso interessantes Thema wären die Permissions (was bedeuten die Einträge und wer braucht was, wie setzt man diese richtig)

zurück zum Thema:
Unter "Nicht in das Internet lassen sollte man .." sind die wichtigsten Einträge erläutert. Super wäre eine "vollständige" Liste aller System Einträge mit der Info was diese bedeuten bzw. welche Art von Apps was brauchen.

Hierzu auch eine Frage:
In der empfohlenen App Netzwerk Log werden Pakete von
(-1) Kernel
(10090) Solo Launcher
(0) root
(10080) Resource Monitor Mini
aufgelistet, obwohl sie von AFWall+ blokiert werden sollten.

Wie kommt es dazu?

In den Einstellungen ist der Punkt "Protokollieren hinter Firewall" nicht angehakt!
 
Zuletzt bearbeitet:
Dazu kann man sich hier bei Mike Kuketz schlau machen (siehe dort Abschnitt "4.6 Besonderheiten ab Android 4.3+"):
http://www.kuketz-blog.de/f-droid-und-afwall-android-ohne-google-teil4/

"Protokollieren hinter Firewall" sollte aktiviert sein, um nur die Pakete zu sehen, die wirklich nach "draussen" gehen.

JamesM schrieb:
[...] Hierzu auch eine Frage:
In der empfohlenen App Netzwerk Log werden Pakete von
(-1) Kernel
(10090) Solo Launcher
(0) root
(10080) Resource Monitor Mini
aufgelistet, obwohl sie von AFWall+ blokiert werden sollten.

Wie kommt es dazu?

In den Einstellungen ist der Punkt "Protokollieren hinter Firewall" nicht angehakt!
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: zcover, mratix und Miss Montage
Danke @ooo für die feine Anleitung! Ich hatte mir Afwall+ gerade installiert, war aber etwas erschlagen von den ganzen Einzelheiten...
 
Anmerkung:
Habe alle Einstellungen laut Anleitung (von ooo) durchgeführt und auch mich noch zusätzlich in den Artikel von Mike Kuketz eingelesen. Hatte aber trodem keinen Zugriff aufs web (email, wetter, ....). Erst nachdem ich den Punkt "-10:(alle Apps) - Gleiche Funktion wie Alle Apps markieren" angehakt hatte funktionierte alles.
 
@JamesM - welcher Modus ist denn eingestellt: "ausgewählte blockieren" oder "ausgewählte zulassen" (engl. black oder white list)? Ich meine, direkt nach Installation ist "ausgewählte zulassen" default.
Ich hatte mich da schon mal ins Knie geschossen, und eigentlich genau die, die ich zulassen wollte, blockiert :D
 
Modus: Ausgewählte erlauben!

Habe bei meinen Versuchen jeden Dienst einzel geprüft. Es funktioniert lediglich wenn dieser aktiv ist.
 
Also wenn ich da jetzt keinen Denkfehler drin habe, ist mit dem von dir genannten Punkt (alle markieren) dann aber ja wieder alles offen - und man könnte es auch lassen?!
 
Ist auch meine Befürchtung!

Nur ist das so??
 
Was sagt denn der Netzwerkmonitor?
Kommt ja auch auf die eigene paranoia an ;) ich arbeite umgekehrt und blockiere, was ich blockieren will - google darf dabei fast immer, wobei ich davon eh die meisten Apps deaktiviert habe.
von dem Rest der da unter Sytem etc. aufgelistet ist, zeigt mir *mein* Netzwerkmonitor keine Aktivitäten an, ergo bleibt bei mir nicht sooo viel das ich überhaupt blocken will.
 
Habs soeben geprüft: wenn "-10 alle Apps: - Gleiche Funktion wie Alle Apps markieren" angehackt ist, haben doch alle Apps Zugriff aufs web !Interessant ist, dass ich bei 2 Geräten die AFWall gleich konfiguriert habe und sie sich auch gleich verhalten.

Daher die Frage: welche System-Funktionen /Apps müssen aktiviert werden und welche Settings in den Einstellungen sind erforderlich, um den Zugriff ins web zu erhalten. Wie gesagt, eigentlich habe ich alle Möglichkeiten durchprobiert (falls ich keine Übersehen habe)!

Der ursprüngliche Beitrag von 09:38 Uhr wurde um 10:21 Uhr ergänzt:

Zugriff funktioniert auch, wenn 0:Root aktiv ist.
 
Ich habe das Start-Posting gerade aktualisiert.

Grundsätzlich gibt es zwei Szenarien:

1. Bei de-aktiviertem netd DNS-Proxy (in den Einstellungen)

muss man folgendes anhaken:

  • 0: root
  • -11: Kernel
  • -12: Tethering (Wenn man das benötigt)
  • Plus das, was man an Apps rauslassen möchte
2. Bei aktiviertem netd DNS-Proxy

  • Evtl. -12: Tethering
  • Die Apps, die man rauslassen möchte.
Hierbei werden "root" und "kernel" immer ins Internet gelassen, weil die Firewall das dann nicht abfangen kann.

Wenn ich etwas übersehen haben sollte oder es falsch zu sein scheint, meldet euch bitte mit einer detaillierten Beschreibug (auch Screenshots), damit ich es evtl. korrigieren kann.
 
  • Danke
Reaktionen: zcover und JamesM
Start-Posting ergänzt

An all diejenigen, die öfter mal die system-Partition wipen, neue ROMs installieren, aber die "data"-Partition entweder behalten oder nach einem Full wipe wieder herstellen:

Wenn in den Einstellungen der Firewall die Option "Start-Datenleck" aktiviert war, wurde dadurch ein sogenanntes Shell-Script in der system-Partition erzeugt (/system/etc/init.d/afwallstart), welches dafür sorgt, dass die iptables rules (das sind die Firewall-Regeln) auf "block all/DROP" gesetzt werden. - Nach dem Flashen einer ROM bzw. der system-Partition einer ROM ist diese Datei NICHT mehr da. - Deswegen muss man erneut die Einstellungen der Firewall öffnen und diesen Option wieder aktivieren. - I. d. R. ist der Haken nicht mehr da und muss nur neu gesetzt werden. - Ist der Haken noch da, bitte einmal entfernen und dann wieder setzen. Zum Überprüfen kann man als "root" mit dem CM Filemanager o. ä. arbeiten und im genannten Verzeichnis nachsehen, ob die Datei existiert.
 
Zuletzt bearbeitet:
ooo schrieb:
Nicht in das Internet lassen sollte man die pauschaleren Einträge (soweit vorhanden), es sei denn, man weiß, warum:

Hallo, was hältst du von dieser Seite, hab ich irgendwo mal hier gefunden, abgespeichert und vergessen... es fragen ja immer wieder Leute, was man sperren sollte und was nicht :thumbup:... Natürlich frage ich mich das auch, allzu viel Infos gibt es ja leider nicht.

https://spreadsheets.google.com/spr...SENVeXlqUm5vV0E&single=true&gid=0&output=html
 
Zuletzt bearbeitet von einem Moderator:
Ich kenne die Seite. - Da hat sich jemand große Mühe gemacht.
Als Anhaltspunkt ist so etwas okay. - Aber die eigene Testerei bzw. das Nachdenken darüber, ob man eine App wirklich braucht (je nach Berechtigung) und ob man dem Entwickler dahinter wirklich traut, kann dir leider niemand abnehmen. - Auch werden die genannten Apps sich ständig ändern (Berechtigungen etc.). - Dadurch ist so eine Liste immer unzuverlässig.

Grundsätzliches zum Thema kann man wieder mal nachlesen bei Mike Kuketz (Warum das nochmal hier schreiben, wenn er es so gut erklärt und weiterführende Links gibt?).
Pizzapeter schrieb:
 
  • Danke
Reaktionen: zcover und Pizzapeter
Hallo ooo,

in der Anleitung steht:

Start-Datenleck (Das ist besonders wichtig, weil das Phone bereits ca. während der Anzeige der Boot-Animation eine W-LAN-Verbindung aufbaut, noch bevor die Firewall aktiv ist. Apps, die dann vor der Firewall starten, können so Daten in das Internet senden. - Dieser Schalter verhindert auch das.)

Bei meinem gerooteten Samsung Xcover 2 GT-S7710 kann ich die Option nicht auswählen, diese ist nur "grau" lesbar.

Was mache ich evtl. falsch?
Was habe ich evtl. vergessen?

Beste Grüße

zcover
 
Zuletzt bearbeitet:
Ich hoffe, du verstehst ein wenig Englisch:
Quelle (komplett):
https://github.com/ukanth/afwall/wiki/Apps-leak-user-privacy-data-during-boot

Quelle (Data Leak Fix, auch weitere Möglichkeiten):
https://github.com/ukanth/afwall/wiki/Apps-leak-user-privacy-data-during-boot#temporally-workarounds
Method 2: Disable Data Connection through AFWall+


For the second workaround you need init.d support. Ask you ROM/Kernel Developer or check the README if you have init.d support or not. Do NOT ask on this Github repository!

  • Open AFWall+ Settings
  • Scroll down until you see 'Experimental Preferences'
  • Enable 'Fix Startup Data Leak'

___

zcover schrieb:
Hallo ooo,

in der Anleitung steht:

Bei meinem gerooteten Samsung Xcover 2 GT-S7710 kann ich die Option nicht auswählen, diese nur "grau" lesbar.

Was mache ich evtl. falsch?
Was habe ich evtl. vergessen?

Beste Grüße

zcover
 
  • Danke
Reaktionen: zcover
Hallo ooo,

Du empfiehlst für AFWall+ fogendes:

https://www.android-hilfe.de/forum/...internet-geht-afwall.611866.html#post-8079256

3.2.1. Firewall installieren und einrichten

___
Benachrichtigungen aktivieren
Mitteilungssymbol anzeigen
UID anzeigen
Aktive Regeln
Roaming-Steuerung
LAN-Steuereung
VPN-Steuerung
Bestätigungsfenster aktivieren
Firewall-Protokoll aktivieren
Geräte-Admin (Den folgenden Dialog dann positiv bestätigen = aktivieren)
Start-Datenleck (Das ist besonders wichtig, weil das Phone bereits ca. während der Anzeige der Boot-Animation eine W-LAN-Verbindung aufbaut, noch bevor die Firewall aktiv ist. Apps, die dann vor der Firewall starten, können so Daten in das Internet senden. - Dieser Schalter verhindert auch das.)
Mehrere Profile
Regeln bei Profilwechsel anwenden
DNS-Proxy > DNS über netd deaktivieren (Nicht vergessen: Dann später auch im jeweiligen Profil bei "0: (Root)" und "-11: (Kernel)" den oder die Haken setzen)
___


Warum genügen deiner Meinung nach nicht die Standardeinstellungen von AFWall+?
Würdest Du deine Empfehlungen kommentieren, weshalb, warum?


Beste Grüße

zcover
 
Zuletzt bearbeitet:
Ich versteh nicht warum als "absolute Minimum für den Internetzugang" folgendes aktiviert sein muss:
Linux-Kernel, Root, Tethering und DNS über netd deaktivieren (als Screenshot dargestellt)

oder sind es nur Beispiel-Screenshots um zu zeigen, wie das Afwall-Menü ausschaut?


Um ins Internet zu kommen reicht nämlich nur das aus:
- Browser
- Downloads, Medienspeicher, Download-Manager
- Media server


Um Telefonate führen zu können, hab ich folgendes aktiviert:
- Telefon (im ersten Post steht für SIP/VOIP - braucht man es also nicht für das normale Stock Telefon-App?)
- Dialer (steht im ersten Post nicht aufgelistet, braucht man es also nicht zu aktivieren um telefonieren zu können?)
- SMS/MMS (bei mir funktionierten Anrufe nicht wenn ich es deaktiviert hatte)
- Kontakte (bin mir nicht sicher ob man das ebenfalls aktiviert lassen sollte um telefonieren zu können)


was das OpenDNS Script betrifft, hab ich im XDA-forum eine anderen Code gefunden:
Code:
#!/system/bin/sh

IP6TABLES=/system/bin/ip6tables
IPTABLES=/system/bin/iptables

$IPTABLES -t nat -D OUTPUT -p tcp --dport 53 -j DNAT --to-destination 208.67.222.222:53 || true
$IPTABLES -t nat -D OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.222.222:53 || true

$IPTABLES -t nat -I OUTPUT -p tcp --dport 53 -j DNAT --to-destination 208.67.222.222:53
$IPTABLES -t nat -I OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.222.222:53
iptables -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.222.222:53
Ich versteh auch hier nicht warum da -D OUTPUT und -I OUTPUT steht und hier empfohlen -A OUTPUT - vielleich wäre es am besten alle drei zusammen in Afwall reinzusetzen?
 
  • Danke
Reaktionen: mutt
@zcover

Weil immer noch Traffic nach draußen gelangt, wenn man die Firewall so benutzt, wie sie standardmäßig eingestellt ist (siehe den Boot-Daten-Leck-Fix und dein init.d-Problem). - Ich habe es doch im Start-Posting beschrieben und dir auch inzwischen andere Quellen zur Verfügung gestellt?

zcover schrieb:
[...] Warum genügen deiner Meinung nach nicht die Standardeinstellungen von AFWall+? [...]

___

@an0n

https://www.android-hilfe.de/forum/...internet-geht-afwall.611866.html#post-8140615

Wenn netd auf "automatisch" oder "aktiviert" steht, dann geht - OHNE, dass die Firewall es registriert oder etwas dagegen tun kann - immer noch still & heimlich Traffic nach draußen. - Das sind i. d. R. DNS-Anfragen auf Port 53.

Fuchs dich bitte in "Network Log" (und evtl. GNU/Linux iptables, Wireshark, TCP/IP, allg. Netzwerkprotokolle) ein und gehe selbst auf die Jagd, okay?

Auch für dich der Tipp: Im Start-Posting und im Thread hier gibt es auch Verweise auf andere Quellen. - Erarbeiten muss sich das jeder selbst und es gibt keine schnelle Lösung, okay? - Bei mir waren es mehrere Jahre, falls ihr etwas ungeduldig mit euch seid ...

an0n schrieb:
Ich versteh nicht warum als "absolute Minimum für den Internetzugang" folgendes aktiviert sein muss:
Linux-Kernel, Root, Tethering und DNS über netd deaktivieren (als Screenshot dargestellt)

___

Nein, diese Screenshots sind passend zu den beschriebenen Grund-Einstellungen. Man kommt so noch NICHT mit einer App ins Internet.
Das wird ja später erklärt. - Ich kann auch nicht jede der Tausende an Apps hier beschreiben, klar, oder?
Aber die "heimlichen" DNS-Anfragen und andere Sachen (Grundlast) werden so von der Firewall registriert und der dafür verantwortliche netd Daemon wird nicht benutzt.

an0n schrieb:
oder sind es nur Beispiel-Screenshots um zu zeigen, wie das Afwall-Menü ausschaut?
___

Nochmal: Das reicht nur dann, wenn man den netd Daemon AKTIVIERT (= Grundeinstellung), was dann wieder Traffic unregistriert/ungeblockt an der Firewall vorbeigehen lässt.

an0n schrieb:
Um ins Internet zu kommen reicht nämlich nur das aus:
- Browser
- Downloads, Medienspeicher, Download-Manager
- Media server

___

Nein, warum?

Probiert es doch bitte einfach mal selbst aus, ich habe mich Stunden selbst damit beschäftigt ... und einiges an Zeit und Kohle dabei verbrannt.

an0n schrieb:
Um Telefonate führen zu können, hab ich folgendes aktiviert:
- Telefon (im ersten Post steht für SIP/VOIP - braucht man es also nicht für das normale Stock Telefon-App?)

___

Nein. - Nur weil irgendeine (System-)App eine Berechtigung verlangt (z. B. Internet), muss diese noch lange nicht benutzt/benötigt werden ...

an0n schrieb:
- Dialer (steht im ersten Post nicht aufgelistet, braucht man es also nicht zu aktivieren um telefonieren zu können?)

___

Das glaube ich nicht, da ich SMS/MMS nicht benutze und es nicht in der Firewall freigeschaltet habe. - Außerdem benötigt man SMS nicht zum Telefonieren. - Evtl. hast du eine falsche Kombination von Freigaben. - Schau mal nach und teste weiter.
Edit@20:55: Der obige Absatz ist einfach falsch von mir! - Reguläres Telefonieren geht immer, wenn man den Flugmodus aus und eine eingebuchte SIM im Phone hat. - Das Telefonieren via 2G/3G-Funknetz hat absolut nichts mit den Mobilen Daten und der Firewall zu tun. - Lediglich für SIP/VoIP (Internet-Telefonie) benötigt man das Internet. - Ebenfalls SMS/MMS. - Dabei werden bei einem Androiden i. d. R. die Mobilen Daten/APNs/Internet (mit-)benutzt.

an0n schrieb:
- SMS/MMS (bei mir funktionierten Anrufe nicht wenn ich es deaktiviert hatte)
___

Zum dritten Mal:
Warum braucht die (Kontakte-)App Zugang zum Internet?
Was hat diese App bzw. deine Daten im Internet verloren?
GAR NICHTS.

an0n schrieb:
- Kontakte (bin mir nicht sicher ob man das ebenfalls aktiviert lassen sollte um telefonieren zu können)
___

Die ersten beiden Zeilen löschen die IP/Port-53-Regel (DNS) für das udp- und tcp-Protokoll ( ... -D(elete) ...).

Die beiden anderen Zeilen fügen diese Regeln wieder ein ( ... -I(nsert) ... )

Ich finde es nicht "attraktiv". - Eine Zeile mit "... -I 1 ..." für "udp" sollte i. d. R. genügen (UDP Port 53 für DNS-Server ist die Regel). - Oder nimm mein Beispiel.

-A ist übrigens A(ppend).

Tipp:
Siehe meine obige Empfehlung, etwas (von Null an) zu lernen. - Z. B. iptables rules unter GNU/Linux. Setzt euch eine Ubuntu-Box auf, auch als VirtualBox-VM unter Windows. - Ist alles kostenlos - es kostet nur Überwindung, Geduld und Zeit ...

Wie war das mit dem Mann der einem anderen keine Fische mehr gegeben hat, sondern ihm das Fischen beigebracht hat? - Ich hab's mir selbst beigebracht, aber meine Probleme sind jetzt neue und andere. - Es geht halt immer weiter ...

an0n schrieb:
was das OpenDNS Script betrifft, hab ich im XDA-forum eine anderen Code gefunden:
Code:
#!/system/bin/sh

IP6TABLES=/system/bin/ip6tables
IPTABLES=/system/bin/iptables

$IPTABLES -t nat -D OUTPUT -p tcp --dport 53 -j DNAT --to-destination 208.67.222.222:53 || true
$IPTABLES -t nat -D OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.222.222:53 || true

$IPTABLES -t nat -I OUTPUT -p tcp --dport 53 -j DNAT --to-destination 208.67.222.222:53
$IPTABLES -t nat -I OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.222.222:53
Ich versteh auch hier nicht warum da -D OUTPUT und -I OUTPUT steht und hier empfohlen -A OUTPUT - vielleich wäre es am besten alle drei zusammen in Afwall reinzusetzen?
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: zcover und an0n

Ähnliche Themen

M
Antworten
0
Aufrufe
104
martin1111
M
sensei_fritz
Antworten
9
Aufrufe
125
sensei_fritz
sensei_fritz
F
  • Felix76
Antworten
6
Aufrufe
893
Felix76
F
Zurück
Oben Unten