Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

  • 818 Antworten
  • Neuester Beitrag
Diskutiere Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+) im Android Sicherheit - AntiVirus, Firewalls, Datenschutz, Verschlüsselung im Bereich Tools.
fireburner

fireburner

Stammgast
@zcover siehe meine Sicherheitswarnung in deinem Thread.
 
O

ooo

Lexikon
@zcover - Ich lese hier ab und zu noch mit. Da thematisch inzwischen alles mehrfach "erschlagen" wurde und es auch aktuellere, aktive Informationsquellen gibt (siehe die diversen Links in den Beiträgen dieses Threads) bin ich hier nicht mehr aktiv.
 
J

jupp

Fortgeschrittenes Mitglied
Gut Tag zusammen,
komme derzeit nicht so ganz klar mit der afwall (v3.1.0)
Kann mir bitte jemand bei den Einstellungen helfen?

Habe den Eindruck, dass die Einstellungen in dein einzelnen Apps keine Auswirkungen haben, da sie sie funktionieren, obwohl nicht berechtigt.
Bei Skript habe ich jeweils:
iptables -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.222.222:53
iptables -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 208.67.222.222:53

eingetragen.
Bei Regeln

IPv4_Ketten Eingeschaltet
Wenn ich es ausschalte, dann funktioniert kein Netz mehr

Ausgabe-Kette IPv4 eingeschaltet

Weiterleitungskette IPv4 ausgeschaltet.


IPv6-Ketten

IPv6 Unterstützung ausgeschaltet

Nur Ipv6 Ketten überwachen eingeschaltet

Alle weiteren drei Punkte ausgeschaltet.




Experimentell Einstellungen

Start Datenleck beheben eingeschaltet

Interne Verbindungen erlauben eingeschaltet

Unterstützung von Dual Apps eingeschaltet


Binärdateien
IPTables-Binärdatei Auto

BusyBox-Binärdatei integrierte BusyBox

DNS-Proxy

DNS über netd deaktivieren


Dann habe ich in Core folgende aktiviert:

11 Kernel Linus Kernel

1013 Medien – Medienserver

-14 NTP Internet zeitserver

Root Apps mit Root Rechten

1016 VPN VPN Netzwerk



System:

10266 Maps

10048 Medienspeicher. Download-manager

10051 Nachrichten

10082 Uhr

101 149 Youtube

Das wars


Benutzer

Hier habe ich ein paar Apps angeklickt….

Verstehe aber nicht, warum hier Apps funktionieren, die NICHT ausgewählt sind mit
Wlan/Daten/rouming/Orbet


Wer kann helfen?

Danek vorab.
 
Kyle Katarn

Kyle Katarn

Fortgeschrittenes Mitglied
Nur kurze Gedanken:
  1. Mit welchem Editor hast du das Skript erstellt? Info siehe hier. Dort gibt es auch anpassbare Skripte.
  2. Eventuell gibt es den DNS-Server unter 208.67.222.222:53 nicht mehr. Probiere mal 46.182.19.48:53 von Digitalcourage, er funktioniert bei mir.
  3. Den Ursprungsbeitrag nacheinander und vor allem Punkt 5 in Ruhe durcharbeiten (trotz des Alters des Beitrags stimmen die Hinweise noch). Vorzugsweise anfangs erst mal ohne AFWall+-Skripte. Kleinste Fehler machen sich oft dadurch bemerkbar, dass das Skript nicht funktioniert oder abbricht.
 
J

jupp

Fortgeschrittenes Mitglied
Kyle Katarn schrieb:
Nur kurze Gedanken:
  1. Mit welchem Editor hast du das Skript erstellt? Info siehe hier. Dort gibt es auch anpassbare Skripte.
  2. Eventuell gibt es den DNS-Server unter 208.67.222.222:53 nicht mehr. Probiere mal 46.182.19.48:53 von Digitalcourage, er funktioniert bei mir.
  3. Den Ursprungsbeitrag nacheinander und vor allem Punkt 5 in Ruhe durcharbeiten (trotz des Alters des Beitrags stimmen die Hinweise noch). Vorzugsweise anfangs erst mal ohne AFWall+-Skripte. Kleinste Fehler machen sich oft dadurch bemerkbar, dass das Skript nicht funktioniert oder abbricht.
Danke,
zu 1. das Skript habe ich aus dem Beitrag Punkt 3.2.1


zu.3
bei der aktualisierten afwall+ 3.1.0 igbt es enue Punkte die im Ursprungsbeitrag nicht behandelt werden, daher bin ich mir unsicher, wie Diese einzustellen sind.

zu.2
also dieses eintragen auf beiden Positionen?

iptables -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 46.182.19.48:53
iptables -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 46.182.19.48:53

iptables -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 46.182.19.48:53
iptables -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 46.182.19.48:53

rudolf schrieb:

was soll eingeschaltet werden?

1) IPv6 Unterstützung
2) Ipv6 Ketten überwachen
3) Eingabe Kette (IPv6)
4) Ausgabe-Kette (IPv6)
5) Weiterleitungs-Kette (IPv6)

Danke vorab
 
J

jupp

Fortgeschrittenes Mitglied
...der lässt immer noch alles durch.
Noch jemand ne Idee?
 
dodos

dodos

Erfahrenes Mitglied
Guten Abend, ich bin bei der AFWall noch Neuling und habe mich an die Reihenfolge von Kuketz-blog gehalten.
Software Version: v3.3.1 (F-Droid Store)

Weiße Liste und keine Skripte bisher extra. Adway läuft nebenbei.
Allerdings klappt die Protokollierung nicht wie unter 3.4 beschrieben. Link

Protokolldienst ist eingeschaltet und Meldungen einblenden aktiviert, aber wenn ich dann das Protokoll selber öffne ist es leer. Es werden keine Daten angezeigt.

Muss der Afwall selber die Erlaubnis zum Netzwerkzugriff gegeben werden? Ich habe es mit und ohne probiert, aber es hat sich nichts geändert.
Danke
 
F

flori73

Fortgeschrittenes Mitglied
ooo schrieb:
___

Wenn du etwas ohne root suchst, um Ads zu blocken, dann nimm die Kombination Firefox Klar vom F-Droid App Store und NetGuard von hier als .apk-Download (jüngste "stable" nehmen) und arbeite mit dessen Hosts-Option. - Nicht die Google Play Store-Version und nicht die F-Droid-Version verwenden, diese Versionen haben die Hosts-Option nicht! - Alle anderen Browser deaktivierst/deinstallierst du, wenn du darauf verzichten kannst.

NetGuard-Firewall einrichten - mobilsicher.de
In der Praxis: Firewalls für Android - mobilsicher.de
Mehr Datenkontrolle durch Firewall-App (Android) - mobilsicher.de
___
ist das noch aktuell ? Mein Handy ist ein Realme x2 Pro. (Kein root)
Ziel wäre auch Werbung zu unterbinden.
 
Zuletzt bearbeitet:
dodos

dodos

Erfahrenes Mitglied
Ohne Root: Netguard, Bockada v3 oder Dns66. (Alles als F-Droid Versionen oder Github) Die erfüllen alle diese Bedigungung und teils mit integriertem Adblocker.
 
Zuletzt bearbeitet von einem Moderator:
Bearbeitet von hagex - Grund: Direktzitat entfernt. Gruß von hagex
A

anonymousdark

Fortgeschrittenes Mitglied
Hallo habe versucht die custom-scripts in Af-Wall einzubinden.
bekomme aber immer die Meldung: Fehler beim Anwenden von Iptables-Regeln

einmal start-script


Code:
# Flush/Purge all chain
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
#$IP6TABLES -X
#$IP6TABLES -t nat -X
#$IP6TABLES -t mangle -X

# Deny IPv6 connections
#$IP6TABLES -P INPUT DROP
#$IP6TABLES -P OUTPUT DROP

## Block Facebook https://developers.facebook.com/docs/ApplicationSecurity/
## Outgoing Connection
$IPTABLES -A "afwall" -d 31.13.24.0/21 -j REJECT
$IPTABLES -A "afwall" -d 31.13.64.0/18 -j REJECT
$IPTABLES -A "afwall" -d 45.64.40.0/22 -j REJECT
$IPTABLES -A "afwall" -d 66.220.144.0/20 -j REJECT
$IPTABLES -A "afwall" -d 69.63.176.0/20 -j REJECT
$IPTABLES -A "afwall" -d 69.171.224.0/19 -j REJECT
$IPTABLES -A "afwall" -d 74.119.76.0/22 -j REJECT
$IPTABLES -A "afwall" -d 103.4.96.0/22 -j REJECT
$IPTABLES -A "afwall" -d 157.240.0.0/17 -j REJECT
$IPTABLES -A "afwall" -d 173.252.64.0/18 -j REJECT
$IPTABLES -A "afwall" -d 179.60.192.0/22 -j REJECT
$IPTABLES -A "afwall" -d 185.60.216.0/22 -j REJECT
$IPTABLES -A "afwall" -d 204.15.20.0/22 -j REJECT

## Block Google
## Outgoing Connection

$IPTABLES -A "afwall" -d 8.8.4.0/24 -j REJECT
$IPTABLES -A "afwall" -d 8.8.8.0/24 -j REJECT
$IPTABLES -A "afwall" -d 8.34.208.0/20 -j REJECT
$IPTABLES -A "afwall" -d 8.35.192.0/20 -j REJECT
$IPTABLES -A "afwall" -d 23.236.48.0/20 -j REJECT
$IPTABLES -A "afwall" -d 23.251.128.0/19 -j REJECT
$IPTABLES -A "afwall" -d 35.184.0.0/12 -j REJECT
$IPTABLES -A "afwall" -d 35.200.0.0/14 -j REJECT
$IPTABLES -A "afwall" -d 35.204.0.0/15 -j REJECT
$IPTABLES -A "afwall" -d 63.88.73.0/24 -j REJECT
$IPTABLES -A "afwall" -d 64.233.160.0/19 -j REJECT
$IPTABLES -A "afwall" -d 66.102.0.0/20 -j REJECT
$IPTABLES -A "afwall" -d 66.249.64.0/19 -j REJECT
$IPTABLES -A "afwall" -d 70.32.128.0/19 -j REJECT
$IPTABLES -A "afwall" -d 72.14.192.0/18 -j REJECT

# Force  NTP DE ntp0.fau.de (131.188.3.220),  Location: University Erlangen-Nuernberg
#$IPTABLES -t nat -A OUTPUT -p tcp --dport 123 -j DNAT --to-destination 131.188.3.222:123
#$IPTABLES -t nat -A OUTPUT -p udp --dport 123 -j DNAT --to-destination 131.188.3.222:123

# Force DNS (in this Case [OpenDNS](http://www.opendns.com/))
$IPTABLES -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 208.67.220.220:53
$IPTABLES -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.220.220:53
einmal stop-script

Code:
#
# /data/local/afwall/afwall-stop-script
#
IPTABLES=/system/bin/iptables
IP6TABLES=/system/bin/ip6tables

# Flush/Purge all rules
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
#$IP6TABLES -F
#$IP6TABLES -t nat -F
#$IP6TABLES -t mangle -F

# Flush/Purge all chains
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
#$IP6TABLES -X
#$IP6TABLES -t nat -X
#$IP6TABLES -t mangle -X

# Deny IPv6 connections
#$IP6TABLES -P INPUT DROP
#$IP6TABLES -P OUTPUT DROP

# Deny IPv4 connections
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP

Bitte um Hilfe.
 
Kyle Katarn

Kyle Katarn

Fortgeschrittenes Mitglied
Fehler bei Skripten sind ein weites Feld.

Grundlegende Infos zu eigenen Skripten gibt es bei ukanth / afwall - CustomScripts.
Hilfreich ist auch ASN IPFire Script and AFWall+, dort insbesondere ab 3.1 (z.B. Größe des Skripts).
Ansonsten den richtigen Editor nehmen, s. hier, und den Start des Skripts in AFWall+ mit Leerzeichen zwischen . und / beginnen.
Einige Infos gibt es auch beim Kuketz-Blog. Dort steht auch ein Hinweis auf Fehler bei neuen Andoid-Versionen.
AFWall+ soll grundsätzlich auch Android 10 unterstützen.
 
A

anonymousdark

Fortgeschrittenes Mitglied
@Kyle Katarn

Habe Notepad++ für die Skripte verwendet
zu Unix konvertiert und als .sh Datei ausgegeben.

AFWall+ mit Leerzeichen zwischen . und / beginnen.
Habe ich gemacht.

Scripte in den afwall-Ordner der SD-Karte gelegt.
Bei Afwall+ unter "Skript festlegen" den Pfad:

Code:
. /sdcard/afwall/afwall-start-script
ertes Feld

Code:
. /sdcard/afwall/afwall-stop-script
zweites Feld

eingegeben. Bei Tippen aud OK kommt:
Fehler beim Anwenden von Iptables-Regeln

. /storage/sdcrad0/... habe ich auch versucht
 
MIonix

MIonix

Neues Mitglied
Schau mal in Einstellungen > Experimentell > Startverzeichnis für das Script.
Dort kann das Verzeichnis ausgewählt werden. Mit LOS 16 ist es /data/adb/service.d/ > dort das Script ablegen.
 
V

VLH

Neues Mitglied
dodos schrieb:
Guten Abend, ich bin bei der AFWall noch Neuling und habe mich an die Reihenfolge von Kuketz-blog gehalten.
Software Version: v3.3.1 (F-Droid Store)

Weiße Liste und keine Skripte bisher extra. Adway läuft nebenbei.
Allerdings klappt die Protokollierung nicht wie unter 3.4 beschrieben. Link

Protokolldienst ist eingeschaltet und Meldungen einblenden aktiviert, aber wenn ich dann das Protokoll selber öffne ist es leer. Es werden keine Daten angezeigt.

Muss der Afwall selber die Erlaubnis zum Netzwerkzugriff gegeben werden? Ich habe es mit und ohne probiert, aber es hat sich nichts geändert.
Danke
Hallo Dodos,
ich habe ähnliches Problem mit dem leeren Protokol von AFWall+. Hast du den Grund gefunden?
Ich habe AF Wall+ Version v3.4.0. ich habe LineageOS 17.1 instaliert und mehrere Male auch update gemacht. nach den Updates von Juli2020 kommen von AFWall+ keine Benachrichtigungen mehr und das Protokol ist leer.
Danke.
 
S

sereksim

Neues Mitglied
Hat es einen bestimmten Grund, warum hier in der Checkliste Adaway als Werbeblocker verwendet wird und nicht Blokada oder AdGuard?
 
D

Dr.No

Ehrenmitglied
Adaway verwendet ebenfalls Root und ist nicht so aufdringlich wie Blockada.

Empfehlungsecke
 
P

pixel24

Fortgeschrittenes Mitglied
Hallo zusammen,

ich bin an dem Thema auch interessiert. Bevor ich alles in Ruhe durch lese. Ist die Vorgehensweise noch aktuell? Ich frage nur weil der erste Post ja doch schon eine Weile her ist. Oder wurde die Anleitung auf die aktuellen Systeme angepasst?

Viele Grüße
pixel24
 
Ähnliche Themen - Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+) Antworten Datum
5
5
0