Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

[Mumford]

@ooo

Samsung S4 VE GT-I9515
Lineage 14.1-20180107-UNOFFICIAL-jfvelte, 3.4.113-Lineage-gfc01aaf exodusnick97@LinuxMint #1
Afwall 2.9.8.
IPv6 nicht aktiviert
Iptables stehen auf Eigenen und sind auch kurz auf Automatisch eingestellt gewesen, bekam dann auch die gleiche Fehler.
Keine Ahnung wo die Skripte liegen.
Scripte nicht in einem Windows Box geöffnet.

Danke!

 

[ooo]

@Mumford - Hat ein wenig gedauert ...

Kollege mit SGS4 GT-I9505 - LineageOS 14.1 (official) @ 2018-03-16, rooted via su-Add-On, AFWall+ 2.9.8 Donate:

Siehe Screenshots für Settings und File Locations, root-Filemanager benutzen
.zip-File enthält auf dem SGS4 funktionierende Custom Scripts - kommen nach /system/xbin/
(Mit /data/local/ gibt es Fehler, root war weg, nach-rooten ist vielleicht nicht schlecht)

Edit: Nach einem (OTA-)Update der ROM kann es sein, dass die Scripte unter /system/xbin/ wieder weg sind. - Also überprüfen und neu kopieren, falls sie fehlen ...
_

Spoiler: Screenshots

_

 

[Dr.No]

@ooo : kann ich die Scripte auch unter LOS 15.1 verwenden?

Ansonsten läuft die AFWall+ super, nur manchmal bekomme ich den fehler das die Regeln nicht angewendet werden konnte. Könnte das evtl. mit der Akku-Optimierung zusammenhängen? Habe jetzt die AFWall+ aus der Akku-Optimierung rausgenommen und werde es beobachten.

 

[ooo]

kann ich die Scripte auch unter LOS 15.1 verwenden?

TWRP Voll-Backup, dann einfach ausprobieren ... (sollte gehen)

Bei root-Problemen kann man evtl. auch auf Magisk | SuperSU | su-Add-On wechseln und neu testen?

AFWall+ aus der Akku-Optimierung rausgenommen

Normalerweise unnötig, schaden tut's nicht ... (liegt evtl. noch an der inofficial LAOS-ROM 15.1 Oreo = "Baustelle")

 

[Mumford]

@Mumford - Hat ein wenig gedauert ...

Kollege mit SGS4 GT-I9505 - LineageOS 14.1 (official) @ 2018-03-16, rooted via su-Add-On, AFWall+ 2.9.8 Donate:

Siehe Screenshots für Settings und File Locations, root-Filemanager benutzen
.zip-File enthält auf dem SGS4 funktionierende Custom Scripts - kommen nach /system/xbin/
(Mit /data/local/ gibt es Fehler, root war weg, nach-rooten ist vielleicht nicht schlecht)

@ooo
Vielen Dank! Ohne die Hilfe hier würde Ich nie weiter gekommen sein!
Ich muss noch dazu sagen dass Ich meine Skripte womit Ich Probleme habe, sich in den /data/media/0/Download befinden. Ich versuche es erst mal diese in dem /system/xbin/ zu installieren.
------
Edit1: ändert leider nichts. Werde mich jetzt mit dem GT-I9505 Skript beschäftigen.
------
Edit2: auch mit dein Skript habe Ich die gleiche Probleme!

 

[Dr.No]

kann ich die Scripte auch unter LOS 15.1 verwenden?

TWRP Voll-Backup, dann einfach ausprobieren ... (sollte gehen)

Bei root-Problemen kann man evtl. auch auf Magisk | SuperSU | su-Add-On wechseln und neu testen?

AFWall+ aus der Akku-Optimierung rausgenommen

Normalerweise unnötig, schaden tut's nicht ... (liegt evtl. noch an der inofficial LAOS-ROM 15.1 Oreo = "Baustelle")

Habe es mal gewagt und deine Scripte und IPTables + eine von der Entwicklerseite in die AFWall eingebunden. LOS15.1 hat einen Schnellstart hingelegt und Root war weg. Habe jetzt erstmal wieder gerootet und muss schauen ob es dann funktioniert. Ansonsten hilft wohl nur löschen. Backup....hätte ich wohl vorher machen sollen

 

[ooo]

@Mumford @Dr.Now

Habt ihr bei der Eingabe unter "Skript festlegen" den Punkt am Anfang und den ersten Slash in jeder Zeile mit einem Leerzeichen abgetrennt?

Also so:

<dot><space><slash>path/to/script.sh
. /path/to/script.sh​

___

Oder einfach die Firewall ganz ohne Scripts testen. - Wenn das funktioniert, ein ganz simples Script probieren.

Beispiel:

Lokation (Script force-dns-ntp im Verzeichnis /system/xbin anlegen):

/system/xbin/force-dns-ntp​

Inhalt der Datei:

IPTABLES="iptables"

$IPTABLES -t nat -I OUTPUT -p udp --dport 53 -j DNAT --to-destination 85.214.20.141:53

$IPTABLES -t nat -I OUTPUT -p udp --dport 123 -j DNAT --to-destination 131.188.3.220:123

In AFWall+ unter "Skript festlegen" (nur diese Zeile) eintragen:

. /system/xbin/force-dns-ntp

(Punkt Leerzeichen Slash ...)​

Abspeichern
Reboot
___

• Wenn ihr SuperSU verwendet, kann man in den Einstellungen "SuperSU während Boot aktivieren".
• Wenn *zusätzlich* LineageOS su-Add-On installiert ist:
  Evtl. muss man dann zusätzlich in den
  Settings > Entwickleroptionen > Root > "Nur Apps" einstellen (oder "Deaktiviert")
  Oder unrooten mit dem richtigen addonsu-remove-<xyz>-signed.zip?

___

(Ihr habt beide eine inofficial LineageOS-ROM. - Nur ein Gedanke ...)

 

[Dr.No]

Der Punkt am Anfang ist klar, das Leerzeichen danach habe ich im 2.Step beim schreiben gesehen. Evtl. kolliedierte dein Script mit --to-destination 85.xxx. mit dem aus deinem Startpost da dort eine andere Zieladresse angegeben ist (hatte beide Scripte parallel eingebunden). Ich bin was Linux, adb und Scripte anbelangt völliger N00B. Meine letzten Befehle waren: if then else..und das ist 30 Jahre her.

Andere Frage: Ich komme so ganz nicht von Google los. Nutze gerne den Übersetzer und Maps. Beim Übersetzer mag er mir keine Offlinesprachen mehr downloaden. Berechtigungen sollten aber soweit erteilt sein.

- Medienserver
- Google Play Store
- Google Play Dienste-Framework
- Übersetzer

 

[ooo]

if then else..und das ist 30 Jahre her.

Das (if .. then ...) ist dann bereits die halbe Miete für den Erfolg und bei dem genannten Zeitraum ist das Wissen ja auch noch tau-frisch. - Das ist wie Fahrradfahren ...
___

Das Beispiel-Script ist ja nur ein kurzes Script zum Testen, ob die Kombination ROM - AFWall - Script grundsätzlich funktioniert. - Die 85-er-IP-Adresse ist ein besserer (freier, nicht kommerzieller) DNS-Server. - Bei nacheinander geschriebenen Firewall-Regeln (in den Scripts) "gewinnt" immer die zuerst gefundene Regel, die passt. - Das stört sich erstmal nicht gegenseitig.
___

Offlinesprachen können ja auch heruntergeladene Dateien sein. - In deiner Liste der Freigaben habe ich jetzt zwar

"Medienserver",​

aber nicht

"Medienspeicher, Download-Manager, Downloads ..."​

gesehen?

(Wenn man sich zwei Firewall-Profile anlegt - einmal Google rauslassen - einmal Google blocken - kann man Google bei Bedarf durch Umschalten der Profile in sein Phone-Leben lassen oder aussperren, wenn keine entsprechende Kommunikation nebst Tracking erwünscht ist.)
___

Setzt du die oben angehängten Custom Scripts jetzt aktuell ein und funktioniert es denn grundsätzlich?

 

[Dr.No]

- Medienserver
und
- Medienspeicher

sind beide aktiviert. Ich lösche die App noch mal, und deaktiviere die FW und Blokada...nun hat es funktioniert. Aber nicht die eleganteste Lösung die Firewall zu deaktivieren

Custom Scripts setze ich nur die beiden --to-destinations aus deinem Startpost ein. Ich ändere aber mal die Ziel-IP.

 

[Mumford]

@Mumford @Dr.Now

Habt ihr bei der Eingabe unter "Skript festlegen" den Punkt am Anfang und den ersten Slash in jeder Zeile mit einem Leerzeichen abgetrennt?

Ja

Inhalt der Datei:

IPTABLES="iptables"

$IPTABLES -t nat -I OUTPUT -p udp --dport 53 -j DNAT --to-destination 85.214.20.141:53

$IPTABLES -t nat -I OUTPUT -p udp --dport 123 -j DNAT --to-destination 131.188.3.220:123

In AFWall+ unter "Skript festlegen" (nur diese Zeile) eintragen:

. /system/xbin/force-dns-ntp

(Punkt Leerzeichen Slash ...)​

Abspeichern
Reboot

Auch jetzt wieder diesen Fehler.

 

[Kyle Katarn]

In Ergänzung zu Post #632 habe ich das ASN-Skript von maloe mit weniger ASNs (Google, Facebook, Twitter, Acxiom) mit der aktuellen Version 0.7.4 neu erstellt.
Ansonsten funktioniert es, wie zuvor beschrieben, einwandfrei. Den Konsolen-Output habe ich für Interessierte ebenfalls hier hochgeladen.

@ooo, @Mumford und Andere:
Ich sah, dass es eine Menge weiterer Posts, auch zum Thema benutzerdefiniertes Start-Skript und zu Problemen mit dem Pfad /data/local/afwall/<Skript-xyz.sh> gab.
Ich kann das gerade nicht nachvollziehen, weil es auf meinen 3 Motorolas mit LOS 14.1 und auch auf zwei älteren, gerooteten Tablets mit Android-4.4-StockROM mit den selben Einstellungen problemlos läuft. Die Erlaubnisse der Skripte im Unterverzeichnis /data/local/afwall/ stehen jeweils auf Mode 755, ebenso alle <Skript-xyz.sh>. Kann vielleicht dort auch ein Problem bei @Mumford liegen?
Ich werde mir - bei mehr Zeit - die vorstehenden Posts genauer durchlesen und versuchen, da durchzusteigen.

Ansonsten noch ein Hinweis zum Captive Portal Check, der im Skript ip-tables_on.sh in #632 für LOS 14.1 mit "settings put global captive_portal_mode 0" deaktiviert wird. Die Sequenz funktioniert wohl bei LOS 15.1 nicht mehr: Android: Deaktivierung Captive Portal Check unter Oreo

----

Edit: Siehe Ergänzung in Post #692 mit Lösung des "Faulheitsproblems" ;-) aus #632 ...

 

[Dr.No]

Nachdem ich durch die ganze Rumspielerei massive Probleme bekommen habe, war ein Werksreset notwendig. In diesem Zuge bin ich ersteinmal auf die Resurrection Rom gewechselt und richte das jetzt alles wieder neu ein.

 

[ooo]

Blokada

In diesem Zuge bin ich ersteinmal auf die Resurrection Rom gewechselt und richte das jetzt alles wieder neu ein.

Lass Blokada vllt. erstmal weg. - Das richtet ein VPN ein (Schlüsselsymbol). - Wenn das so gestartet wird, muss man AFWall anders konfigurieren (WLAN <-> Mobile Daten <-> VPN). - Die "klassische" Kombination wäre AFWall+ & AdAway, die gut miteinander arbeiten ...
___

Auch jetzt wieder diesen Fehler.

Das ist schade. - Hast du evtl. irgendeine (root-)App/Einstellung installiert/eingerichtet, die die Fehler auslöst?
Ich würde jetzt ein TWRP Voll-Backup machen, alles wipen und nur mit einer blanken ROM plus su-Add-On (rooten) anfangen - ohne extra Apps etc. und nur AFWall+ installieren. - Dann würde ich mich nur auf die Custom Scripts konzentrieren, bis sie einwandfrei funktionieren ... (mit einem einzigen, einfachen Custom Script anfangen).
___

Ansonsten noch ein Hinweis zum Captive Portal Check

Ja, das ist ein guter Hinweis. - Ich habe deswegen zusätzlich die Zeile

pm disable com.android.captiveportallogin

mit aufgenommen bei meinem Tipp von hier.

Damit wird das Captive Portal (allerdings) komplett deaktiviert, weil die App eingefroren (disable) wird.

 

[Mumford]

Das ist schade. - Hast du evtl. irgendeine (root-)App/Einstellung installiert/eingerichtet, die die Fehler auslöst?

Nein, nur ist Root von Lineage selbst angeschaltet, unter Entwickler Optionen. Werde deine Anweisungen folgen.

Edit:
@ooo
Was Ich noch gefunden habe in den Logfiles von Android:

zB Afwall: libsuperuser error -2 on command '. /system/xbin/force-dns-ntp'
Und auch Chatty: uid=0(root) /system/bin/sh expire 42 lines

Hilft es dir den Log hier zu posten? Weiss aber nicht welche Daten Ich dann rausholen muss um es zu anonymissieren.

 

[Dr.No]

Lass Blokada vllt. erstmal weg. - Das richtet ein VPN ein (Schlüsselsymbol). - Wenn das so gestartet wird, muss man AFWall anders konfigurieren (WLAN <-> Mobile Daten <-> VPN). - Die "klassische" Kombination wäre AFWall+ & AdAway, die gut miteinander arbeiten ...

Danke. Habe ich mir gerade auch so gedacht. Bin jetzt doch wieder auf LineageOS. Bis darauf das ich den Einrichtungsassistenten und GoggleÜbersetzer komplett durchlaufen lassen hab, bin ich nach deiner Anleitung gegangen. Aber so richtig wollte es nicht. Nicht mal FDroid funktionierte. Deine IPTables aus dem Startpost auch nicht. Da habe ich überlegt, ob es evtl. doch nicht reicht FDroid W-Lan-Zugriff zu geben, weil Blockada hier einen VPN aufbaut und das müsste man in der AFWall separat anhaken.

 

[ooo]

Hilft es dir den Log hier zu posten?

Du hast ja den Fehler bereits selbst gefunden. - Das scheint damit zusammen zu hängen, wie deine inofficial ROM (mit integriertem SuperSU) arbeitet. - Das bekommst du evtl. nicht gelöst, bis es eine neue, korrekte Nightly vom Developer gibt?

[4.0+][ROOT][2.9.8] AFWall+ IPTables Firewall [12 JAN 2018] - Post #4253​

___

Alternative (falls du keine Lösung findest):

Du kannst auch AFWall+ ganz weglassen (deinstallieren) und ausschließlich mit NetGuard arbeiten. - Bei NetGuard brauchst du kein root und kannst auch eine Hosts-Datei für das Ad- & Tracking-Blocking downloaden.

Das kann aber nur die App-Version direkt vom Entwickler (Download der .apk bzw. Source Code zum Selbst-Kompilieren).

Die aus dem Play Store kann das nicht = "Evil" Google Restriction > Hier Finger weg ...

 

[Dr.No]

@ooo :

Hab da noch ein zwei Fragen:

- Init.de für startup.leak über
magisk/.core/service.d
oder
/system/etc/init.de
oder
/etc.init.d?

IPv6 Unterstützung oder nur IPv6-Ketten überwachen anhaken, oder nichts von alldem?

Danke.

 

[Mumford]

Du hast ja den Fehler bereits selbst gefunden. - Das scheint damit zusammen zu hängen, wie deine inofficial ROM (mit integriertem SuperSU) arbeitet. - Das bekommst du evtl. nicht gelöst, bis es eine neue, korrekte Nightly vom Developer gibt?

Danke schön!!! Werde mich an den Developer richten. Aber den "Workaround" mit Netguard, wird es im Endeffekt dass gleiche bewirken?

 

[ooo]

wird das im Endeffekt dass gleiche bewirken?

Bis auf die dann fehlenden Custom Scripts (Google Full Blocking etc.) ja. - Deine Idee, den Dev der ROM anzuschreiben finde ich sehr gut. - Vllt. liege ich falsch und er hat einen Tipp für dich - oder er kann es in seinem Source Code korrigieren?
[doublepost=1521921949,1521921784][/doublepost]
___

@Dr.Now

magisk/.core/service.d

nichts von alldem

(in den Kuketz-Scripts wird IPv6 sowieso deaktiviert)