IPv4-Firewall-Patch (ASN-Blockliste, Security-Iptables, DNS)

  • 9 Antworten
  • Letztes Antwortdatum
an0n

an0n

Fortgeschrittenes Mitglied
62
Über einen Artikel vom kuketz-blog kam mir die Idee für die installierbare zip für das Blockieren von Webseiten, die bekannt als Schnüffler sind. Damit andere die z.B. kein Linux-PC haben oder sich mit Programmieren nicht so gut auskennen, das ASN-Blocklist Script einfach fürs Android phone installiert bekommen. Zusätzlich hab ich ein paar Extras hinzugefügt.


Wie installiert man es?

Zuerst Backup der Rom machen, damit man alle Änderungen rückgängig machen kann!

dann gibt es 2 Möglichkeiten:​
  • einfach installieren über Customrecovery (CWM oder TWRP), dann läuft die Blockliste unter /system/su.d-ordner, inklusive init.d, build.prop, sysctl und resolv-script.
  • wie man eine Customrecovery installiert bekommt, findet man heraus in dem dafür zuständigen Smartphone-Modell-Unterforum.
  • oder manuell: per copy&paste die Regeln (aus blacklist.sh) ins Afwall als Custom-Script hinzufügen. Oder über Verlinkung bzw. die Blockliste (blacklist.sh) in die interne Sdkarte kopieren (/storage/emulated/0/afwall) und dann unter Afwall als Start-Script das einfügen: ./storage/emulated/0/afwall/blacklist.sh
  • SuperSu ist Voraussetzung (nix geht ohne root) | SuperSu
  • Afwall ist Voraussetzung damit der Datenleck-Fix funktioniert | AFWall
- Es kann sein, dass abhängig von der Inkompatibilität mit einer Rom, das Script beim booten nicht aktiviert wird, in diesem Fall die Regeln manuell als Custom-Script per copy&paste hinzufügen.
- Für Testzwecke kann man NetworkLog nutzen.

- DNS: Nur wenige Roms haben resolv.conf-support, aber man kann das auch ins Afwall Custom-Script-Bereich per copy&paste hinzufügen:​
Code: 
# dns.watch-DNS
iptables -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 84.200.69.80:53
iptables -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 84.200.70.40:53
weitere Alternativen: Unzensierte_DNS-Server
( ISP-DNS loggen immer und zensieren viel, sowie leiten aufgerufene Seiten in andere um, deswegen ist ein sicherer custom-DNS wichtig)

- Nicht verwundert sein, wenn z.B. YouTube oder Playstore nicht mehr aufrufbar ist, denn die gehören zu google und alle zugehörigen IPs werden geblockt.YouTube ist auf dem PC/TV-Bildschirm sowieso besser, also kann man auf dem Phone darauf verzichten. Aber man kann beliebige Iptable Regeln wieder über einen Filemanager (z.B. CMFilemanager ) entfernen oder neue Regeln erstellen.
- Schon beim Besuch einer Webseite z.B von google, wird ein Cookie platziert,
dass alle aufgerufenen Webseiten loggt und weiterleitet, deswegen ist es wichtig alle IPs zu blocken.
Die NSA hatte im großen Umfang und jahrelang das Google-cookie Millionen von Nutzern ausgespäht und tut das wahrscheinlich immernoch.

- Man kann nicht alle Tracker/Angriffe im Netz per Iptables blocken, deswegen sollte man als Standard Firefox nutzen mit den Sicherheitsaddons:
Toggle Javascript, Self-Destructing Cookies, Ghostery, CleanQuit, Clean Links, Phony
und natürlich die sicheren Suchmaschinen ixquick und startpage
Um Werbung zu blocken, am besten die App AdAway installieren, kein Adblockaddon, da es die Verbindung verlangsamt.

- Dieser Patch ist experimentell, deswegen kann ich für nichts garantieren und jeder handelt beim Installieren auf eigene Verantwortung, ich oder das Forum sind nicht verantwortlich falls es dadurch zu Problemen kommt.

- Bei Fragen zur Installation, den Inhalt oder falls es Fehler nach Installation oder Verbesserungsvorschläge gibt, einfach hier melden.
Enthaltungserklärung: Ich oder das Forum haben keinen Einfluss auf verlinkte externe Inhalte und machen diese nicht zu eigen.


 
Zuletzt bearbeitet:
  • Danke
Reaktionen: DocSnyder, somebody, York und 2 andere
Was ist drin?

version 1.0:
  • Alle vernetzten IPs werden geblockt
  • (ASN von google, facebook)
  • Security Iptables Regeln
  • konfigurierbare Netzwerk Iptables Regeln
  • IPv6 wird deaktiviert (über build.prop und sysctl.conf)
  • Backup von build.prop und sysctl.conf
  • Afwall-Startup-Datenleck-Fix (init.d)
  • Custom-DNS (über resolv.conf)
version 2.0:
  • mehr build.prop und sysctl-tweaks für schnellere und sichere Internetverbindung
  • Stabilitäts-Fix (Reject statt Drop - Regeln)
  • weitere Webseiten hinzugefügt:
    Google
    Facebook
    Microsoft
    Yahoo
    Apple
    Adobe
    AOL
    Dropbox
    Baidu (optional)
    Akamai
version 3.0:
  • zusätzliche ASNs hinzugefügt und zusammengefasst
  • Blockliste wird nicht mehr erweitert
viele Iptable Regeln sind von hier: CustomScripts
Systemvoraussetzung:
Andoid 4 bis Android 6 (empfohlen sind CM oder AOSP-Custom-Roms)

Download:
 

Anhänge

  • IPv4-Firewall-Patch.zip
    131,9 KB · Aufrufe: 528
Zuletzt bearbeitet:
  • Danke
Reaktionen: DocSnyder, York und rthjenetj
Hey an0n schöne Sache!

Kannst du bei den Firefox-Addons vielleicht noch PrivacySettings hinzufügen? Da die DefaultSettings des Firefox nicht mehr sicher sind. Danke.

Und bei Gohstery erwähnen, dass man GhostRank in den Einstellungen abschalten sollte.
Quellcode dieses GhostRank Addons ist auch nicht Quelloffen/OpenSource.
 
  • Danke
Reaktionen: an0n
Ich nutze mein Handy mit Android 4.2.2 anders als die meisten von euch, nämlich mit Internetzugang ausschließlich über WLAN. Ich hab also auch einen Tarif, bei dem Mobilfunk-Internet teuer wird. Deshalb ist das unter "Datenverbrauch" und "Mobilfunknetze->Daten aktivieren" abgeschaltet, immer.

Aber nun kam doch eine teure Rechnung und "Datenverbrauch" zeigt mir an, dass am 6.Jan. von meinen ganz normalen Apps 123MB gezogen wurden. Die Nutzung ist immer noch deaktiviert. Also hat irgendeine App den Schalter für eine gewisse Zeit selbst umgelegt. Deshalb möchte ich allen Apps dieses Recht entziehen. Falls euch nicht noch etwas besseres einfällt, Mobilfunk-Datennutzung komplett zu unterbinden.
 
Knofiman schrieb:
Ich nutze mein Handy mit Android 4.2.2
Zum Vergrößern anklicken....
Welches Handy hast du denn? Anleitung von 000 genutzt? Ist es gerootet?

Allein Aus Sicherheitstechnischen Gründen (keine updates) sollte man keine Veraltete Android version nutzen, auch wenn es eine Custom Rom ist!
Das gleiche gilt für Original StockRoms.
  • Bei den neuen ROMs gibt es einen Brechtigungsmanager.
  • Mit NetzwerkLog Kontrollieren welche App was anwählt.
  • DatenApps Einfrieren. Oder runterschmeissen, falls möglich.
 
@anonymousdark: PrivacySettings werd ich mir mal anschauen, danke für den Tipp. Zu Ghostery werd ich noch ne Anleitung mit Bildern dazutun, das mach ich wenn ich Zeit hab am PC.

@Knofiman: Smartphone ohne mobiles Internet? Besser man wählt einen Tarif ohne dass die Kosten per MB berechnet werden, z.B. wenn gewählter monatlicher Traffic verbraucht wird, es in GPRS gedrosselt wird.
 
Hi Leute,
@anonymousdark: nee, eine Riesenliste von Schritten hab ich nicht und möchte ich nicht auf gut Glück durcharbeiten. Das Hdy ist HTC ChaCha mit CM 10.1, also 4.2.2. Das ist bei weitem das neueste, was ich für das Hdy bekommen konnte. Demnach fehlen mir alle diese Tools? Es hat den PrivacyGuard, und ich hab XPosed+XPrivacy installiert, aber in keinem beider Tools wüsste ich, wo der Haken für "Mobile Datennutzung ja/nein" einsortiert ist, wenn überhaupt.
@an0n: Wenn du mir einen Tarif nennen kannst, der trotz "gewähltem monatlichen Traffic" keinen Cent mehr kostet, als mein "gar kein gewählter monatlicher Traffic". Schließlich hab ich keinen Traffic, solange meine Apps nicht verrückt spielen.
LG, Knofiman
 
Knofiman schrieb:
nee, eine Riesenliste von Schritten hab ich nicht und möchte ich nicht auf gut Glück durcharbeiten.
Zum Vergrößern anklicken....
Lies dir doch mal die Anleitung von 000 mal durch, vllt. findet sich trotzdem etwas.
Glaube bei den Letzen Drei Spoilern ist was dabei, wes evtl. helfen könnte;)

Netzwerklog und AFWall+ kannst du aus dem F-Driod laden.
Titaniumbackup als .apk mit der Kaufversion kannste auch Apps Einfireren.

Blöde Frage, aber nutzt du überhaupt deine SIM-Karte, wenn du nur W-Lan verwendest?
Was hast du denn noch unter Xposend installiert, nur Xprivacy?
Ansonsten, wenn du weisst welche App probs macht, diese runter schmeissen/od einfrieren.
 
Danke für die Tipps, probier ich mal aus.
Ich komm mir ganz schön alt vor: Ich nutze die SIM zum telefonieren und SMS schreiben.
Ich hab nur XPrivacy installiert und nur mit dem Ziel, dieses Problem zu beseitigen.
Ich weiß nicht, welche App verantwortlich ist, sonst wär alles ganz einfach.

Viele Grüße,
Knofiman
[doublepost=1456861255,1456858936][/doublepost]bin darüber zu
F-Droid und AFWall+ – Android ohne Google?! Teil4 • Kuketz IT-Security Blog
gekommen. Die Einstellungen, die man in AFWall+ machen soll, scheint es alle nicht (mehr) zu geben...
 
Vielen Dank für deine Mühe, an0n! Auf jeden sehr wertvoller Beitrag. Aber ein großer Name fehlt noch in der Blockliste: SAMSUNG.
Die haben ASN 6619, kann aber nicht garantieren, dass das der einzige ist.
 
  • Danke
Reaktionen: an0n
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

onemaster
Verständnisfrage Adguard App vs. DNSForge (Private DNS)
  • onemaster
Antworten
10
Aufrufe
442
holms
holms
Liverpool
Control D - DNS Blocker
  • Liverpool
Antworten
18
Aufrufe
2.203
bibo007
B
5
Welche DNS Einstellung auf dem Smartphone für Werbeblockierung, Privatsphäre und Sicherheit?
  • 505876
Antworten
14
Aufrufe
2.175
holms
holms
Zurück
Oben Unten