1. Mitglieder surfen ohne Werbung auf Android-Hilfe.de! ✔ Jetzt kostenlos Mitglied in unserer Community werden.
  1. kowalski84, 01.03.2015 #101
    kowalski84

    kowalski84 Junior Mitglied

    Danke, das scheint es gewesen zu sein. Hat zwar nicht sofort geklappt, aber nach einem Neustart funktioniert das mobile Internet jetzt.
     
  2. ooo

    ooo Threadstarter Android-Guru

    Prima. - Der Neustart wäre evtl. nicht nötig gewesen. - Einfach im Einstellungs-Menü der Firewall nochmal Regeln "Anwenden" benutzen (bei aktivierter Firewall). - Dann werden die Regeln nochmals neu angewendet (etwas zeitversetzt). - Aber auch ein Neustart ist nie verkehrt ...
     
  3. eldoblo, 06.03.2015 #103
    eldoblo

    eldoblo Junior Mitglied

    Benötige etwas Unterstützung bei der Einstellung eines Skripts
    für die DNS-Anfragen in der App AFWall+.

    Nach der Eingabe des Skripts in einem extra Profil wird die Firewall deaktiviert und eine Fehlermeldung bzgl. IP-Tables erscheint. Also was habe ich falsch gemacht?

    Soll der Skripttext ""# Force specific, iptables......"" usw. "hintereinander" eigegeben werden, dann erscheint nur eine Zeile, oder wie wird ein Zeilenumbruch ohne Enter im Smartphone erzeugt?

    Welche Einstellung soll bei IP-Tables vorgenommen werden?

    Thema ist sehr neu für mich (mekt man ja). Für allgemeinverständliche Erklärungen wäre ich sehr dankbar.
     
  4. ooo

    ooo Threadstarter Android-Guru

    @eldoblo - Hallo und willkommen.

    ___
    Wenn AFWall+ ohne Custom Script funktioniert, ist es ein Fehler im Script.

    Wenn die AFWall+ auch ohne Custom Script den Fehler bringt, dann Frage:

    Hat deine ROM denn überhaupt iptables?
    https://www.android-hilfe.de/forum/...t-geht-afwall.611866-page-4.html#post-8501764

    ___

    Wenn es an einem Fehler im Script liegt, habe ich hier jeweils ein Start- und ein Stop-Script angehängt, welche man in der AFWall+ Firewall versuchsweise benutzen kann.

    ___
    Bitte beachten:

    Die beiden Dateien haben die Dateinamen-Erweiterung .txt, weil man hier (dummerweise) keine Dateien ohne Dateinamen-Erweiterung hochladen kann.

    Bitte nach dem Herunterladen auf die SD Card kopieren und dann in

    • afwall-start-script
    • afwall-stop-script
    umbenennen.

    Wichtig:

    Bitte die Dateien NICHT unter Windows in einem Text-Editor bearbeiten und NICHT abspeichern, es sei denn, dieser Editor kann mit UNIX/Linux-Dateien umgehen (Die Zeilenschaltungen werden sonst so verändert, dass die Firewall Fehler produziert.). - Ein möglicher Text-Editor für Windows, der das kann, ist z. B. Notepad++.

    Auf dem Phone mit einem beliebigen Text-Editor ist dies kein Problem, da die korrekten Zeilenschaltungen automatisch benutzt werden.
    ___


    Warum diese zwei Dateien?

    Anstatt mühsam ein längeres Script in den Feldern der "Skript festlegen"-Einstellung (bzw. "Set custom script"-Einstellung) einzutippen, kann man einfach die beiden Dateien benutzen und deren Dateipfad, angeführt von einem Punkt und einem Leerzeichen, in das jeweilige Feld schreiben.

    Dies pro Profil extra, aber nur einmalig. - Spätere Änderungen kann man dann einfach in den beiden Dateien (auf dem Phone) mit einem Text-Editor vornehmen. - Die Änderungen werden dann beim nächsten "Anwenden" im jeweiligen Profil wirksam.

    ___
    Das Start-Script enthält u. a. die erzwungene DNS-Server-Einstellung (für Open-DNS) und holt sich Datum und Uhrzeit von einem Zeit-Server einer Universität, anstatt von *irgendwoher* (ist aber mit einer Raute ("#") auskommentiert und damit inaktiv). - Zusätzlich werden bekannte Facebook-IPs geblockt.

    Wer bestimmte Regeln nicht möchte, der schreibt einfach eine Raute ("#") an den Anfang der nicht gewünschten Zeilen, um diese Zeilen zu deaktivieren oder löscht die Zeilen komplett. - Zum Aktivieren die Raute am Anfang der Zeile einfach wieder entfernen.

    Inhalt Start-Script (Datei afwall-start-script)
    Code:
    #
    # /data/local/afwall/afwall-start-script
    #
    IPTABLES=/system/bin/iptables
    IP6TABLES=/system/bin/ip6tables
    
    # Flush/Purge INPUT rules (All 'afwall' chains/rules gets flushed automatically, before the custom script is executed)
    $IPTABLES -F INPUT
    
    # Flush/Purge all chain
    $IPTABLES -X
    $IPTABLES -t nat -X
    $IPTABLES -t mangle -X
    #$IP6TABLES -X
    #$IP6TABLES -t nat -X
    #$IP6TABLES -t mangle -X
    
    # Deny IPv6 connections
    #$IP6TABLES -P INPUT DROP
    #$IP6TABLES -P OUTPUT DROP
    
    ## Block Facebook https://developers.facebook.com/docs/ApplicationSecurity/
    ## Outgoing Connection
    $IPTABLES -A "afwall" -d 31.13.24.0/21 -j REJECT
    $IPTABLES -A "afwall" -d 31.13.64.0/18 -j REJECT
    $IPTABLES -A "afwall" -d 66.220.144.0/20 -j REJECT
    $IPTABLES -A "afwall" -d 69.63.176.0/20 -j REJECT
    $IPTABLES -A "afwall" -d 69.171.224.0/19 -j REJECT
    $IPTABLES -A "afwall" -d 74.119.76.0/22 -j REJECT
    $IPTABLES -A "afwall" -d 103.4.96.0/22 -j REJECT
    $IPTABLES -A "afwall" -d 173.252.64.0/18 -j REJECT
    $IPTABLES -A "afwall" -d 204.15.20.0/22 -j REJECT
    
    # Force  NTP DE ntp0.fau.de (131.188.3.220),  Location: University Erlangen-Nuernberg
    #$IPTABLES -t nat -A OUTPUT -p tcp --dport 123 -j DNAT --to-destination 131.188.3.222:123
    #$IPTABLES -t nat -A OUTPUT -p udp --dport 123 -j DNAT --to-destination 131.188.3.222:123
    
    # Force DNS (in this Case [OpenDNS](http://www.opendns.com/))
    $IPTABLES -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 208.67.220.220:53
    $IPTABLES -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.220.220:53
    
    ___
    Das Stop-Script sorgt dafür, dass, wenn AFWall+ über deren Einstellungen "deaktiviert" wird, überhaupt keine Verbindungen mehr in das Internet gehen. - Wer dies nicht möchte, der benutzt das Stop-Script einfach gar nicht (also das entsprechendes Feld in "Custom Script" einfach leer lassen).

    Inhalt Stop-Script (Datei afwall-stop-script)
    Code:
    #
    # /data/local/afwall/afwall-stop-script
    #
    IPTABLES=/system/bin/iptables
    IP6TABLES=/system/bin/ip6tables
    
    # Flush/Purge all rules
    $IPTABLES -F
    $IPTABLES -t nat -F
    $IPTABLES -t mangle -F
    #$IP6TABLES -F
    #$IP6TABLES -t nat -F
    #$IP6TABLES -t mangle -F
    
    # Flush/Purge all chains
    $IPTABLES -X
    $IPTABLES -t nat -X
    $IPTABLES -t mangle -X
    #$IP6TABLES -X
    #$IP6TABLES -t nat -X
    #$IP6TABLES -t mangle -X
    
    # Deny IPv6 connections
    #$IP6TABLES -P INPUT DROP
    #$IP6TABLES -P OUTPUT DROP
    
    # Deny IPv4 connections
    $IPTABLES -P INPUT DROP
    $IPTABLES -P OUTPUT DROP
    
    ___


    Was stellt man jetzt wie ein?

    Falls man die beiden Scripte auf der SD Card hat, sollte man sich ein neues Verzeichnis "afwall " anlegen und die beiden Dateien dorthin kopieren.

    Die vollständigen Dateipfade wären dann:

    • /sdcard/afwall/afwall-start-script
    • /sdcard/afwall/afwall-stop-script
    In den beiden Feldern unter "Skript festlegen" (bzw. "Set custom script") in den Einstellungen von AFWall+ zu einem Profil würden dann folgende Einträge gemacht:
    Code:
    . /sdcard/afwall/afwall-start-script
    
    und
    Code:
    . /sdcard/afwall/afwall-stop-script
    
    Oder das zweite Feld leer lassen (siehe oben im Text AFWall deaktivieren)

    Wichtig: Zwischen dem Punkt und dem ersten Schrägstrich ist ein Leerzeichen in beiden Feldern.


    Mike Kuketz schreibt in seinem Blog ebenfalls noch folgende Tipps zum Thema AFWall+ und Custom Scripts:

    Quelle: http://www.kuketz-blog.de/f-droid-und-afwall-android-ohne-google-teil4/


    (Siehe Screenshots dazu)
    _
     

    Anhänge:

    Zuletzt bearbeitet: 10.03.2015
    TimiTaps, m505 und mratix haben sich bedankt.
  5. eldoblo, 07.03.2015 #105
    eldoblo

    eldoblo Junior Mitglied

    @ooo
    ich freue mich über deine schnelle und ausführliche Antwort. Vielen Dank dafür.

    Systeminfo/Ist= Stockrom 4.4.2 KK auto root ch, meine alten Skriptversuche wieder gelöscht AFWall läuft (grünes Schild) ohne meine alten Skripteingaben.

    Protokolldienst eingeschaltet Meldungen z.B. YouTube wird geblockt erscheint, IP-Tables Binärdatei auf Auto aktiviert.

    Firewall-Protokoll zeigt zumindest diverse blockierte Pakete.

    Netzwerklog zeigt Facebook-Korrespondenz (böse) an, Netzwerklog läuft aber sehr sensibel erstmal wieder stopp und rootrechte entzogen.

    Starte immer nur im Flugzeugmodus bis AFWall aktiviert ist dann F-Modus aus und mobile Daten an.

    Phänomen: bei aktivierten mobilen Daten erfolgt nach ca. 15 Sekunden ein automatisches/systembedingtes erneutes aus- und einloggen ersichtlich durch die Balken und der /H+/3G Anzeige (war vor der Installation AFWall nicht, denke es wird fleißig DNS-Traffic erstellt).

    Da bin ich wohl mit einem sehr komplexen Thema eingestiegen und habe noch nicht mal "Grundkenntnisse" in der Erstellung eines Skripts.
    Na ja, kann nur "schlimmer" werden werden.

    Nutze z.Z. nur den Standard Speicher im Smartphone, wäre es also sinnvoll eine neue zusätzliche SD-Card ins Phone zu "schieben".
    Somit brauche ich nicht mit "windoof zu hantieren", ok?

    Welcher Texteditor ist simpel und kann für diese Zwecke genutzt werden (Empfehlung)? Habe im Moment nur das Office Polaris drauf.

    **Nachtrag: sehe gerade das in meinem OI-Notizblock ein Log vorhanden ist, ist das ein angemessenes Werkzeug um Skripte zu bearbeiten oder besser nicht?**

    Danke ooo
     
    Zuletzt bearbeitet: 07.03.2015
  6. ooo

    ooo Threadstarter Android-Guru

    @eldoblo - Das liest sich alles bereits sehr gut:

    • AFWall+ funktioniert (ohne Custom Scripts), Blockier-Meldungen
    • iptables wird also benutzt (wir müssen nur noch herausfinden, wo diese liegen im System, dazu weiter unten ...)
    • Netzwerk Log zeigt im Protokoll Einträge/Details (Facebook-Traffic)
    Erstmal zu deinen (neuen) Fragen:
    ___

    Welcher Text-Editor?
    Als Datei-Editor kannst du auf dem Phone im Prinzip jede App benutzen, die dir erlaubt, Textdateien zu bearbeiten. - Ich benutze gerne den 920 Text Editor (Google Play Store) oder (Direkt-Download bei F-Droid ohne Google) - Vorteile: Syntax-Highlighting für viele Programmier- und Script-Sprachen, Zeilennummern einblendbar, Sonderzeichen, öffnet die letzte verwendete Datei automatisch, wenn so eingestellt, kann System-Dateien bearbeiten (als root), kann Windows-Zeilenschaltungen in UNIX/Linux-Zeilenschaltungen ändern (und umgekehrt), gute Performance - auch bei größeren Dateien. - Aber das ist nur eine Möglichkeit von vielen.
    ___

    Externe SD Card zusätzlich?
    Benötigst du nicht für diese Sache. - Du musst nur sicherstellen, dass du die richtigen Pfade zu den Custom Scripts in AFWall+ einträgst, nachdem du diese auf deine interne SD Card kopiert hast.
    ___

    Windows vermeiden?
    Klar, das ist dann kein Problem mehr, wenn du auf dem Phone mit dem Editieren von Dateien klar kommst. - Ansonsten kann man ja das Phone mit dem Rechner verbinden und Dateien direkt auf der SD Card mit dem bereits erwähnten Notepad++ editieren.
    ___

    Deine Downloads für die nächsten Schritte:
    (Wir müssen irgendwie die iptables-Binary auf deinem Phone finden.)

    Android Terminal Emulator
    Direkt-Download beim Developer
    http://jackpal.github.com/Android-Terminal-Emulator/downloads/Term.apk

    Direkt-Download ohne Google Apps bei F-Droid
    https://f-droid.org/repo/jackpal.androidterm_66.apk

    Download im Google Play Store
    https://play.google.com/store/apps/details?id=jackpal.androidterm

    Zusätzlich (nur als weitere Option, um grafisch an System-Dateien zu kommen) entweder

    CM-Filemanager (Direkt-Download bei F-Droid, auch ohne Google Apps)
    https://f-droid.org/repo/com.cyanogenmod.filemanager.ics_1015.apk

    oder alternativ

    Root Browser
    https://play.google.com/store/apps/details?id=com.jrummy.root.browserfree

    oder alternativ

    ES Datei Explorer (Mit Root-Zugriffs-Möglichkeit)
    https://play.google.com/store/apps/details?id=com.estrongs.android.pop


    (Diesen bitte NICHT in das Internet lassen. - Eigenes Heimnetzwerk ist aber in Ordnung.)
    ___

    Wir arbeiten jetzt aber mit dem Android Terminal Emulator in der Kommando-Zeile mit einer Linux-Shell:

    Also den installierten Android Terminal Emulator öffnen und dann die folgenden Befehle eingeben:
    Code:
    which iptables
    which ip6tables
    
    Das sollte dann in etwa ein solches oder ähnliches Ergebnis liefern:
    Android-Terminal-Emulator-iptables-finden-mit-which.png
    _

    Oder mit find als root (su)
    (=> noch intensivere Suche im gesamten System):
    Code:
    su
    find / -iname iptables
    
    Das sollte dann in etwa ein solches oder ähnliches Ergebnis liefern:
    Android-Terminal-Emulator-iptables-finden-mit-find.png
    _

    Mit einem Dateimanager der Root-Zugriff und eine Suchfunktion hat (im Beispiel CM-Filemanager) kann das dann so aussehen:
    iptables-finden-mit-Dateiexplorer.png
    ___

    Sollten die gefundenen Pfade nicht den beiden Zeilen in den Scripts entsprechen, so müssen diese dort angepasst werden.

    Die Zeilen sind momentan:
    Code:
    ...
    IPTABLES=[B]/system/bin/iptables[/B]
    IP6TABLES=[B]/system/bin/ip6tables[/B]
    ...
    
    Bei mir (siehe Screenshot oben mit der Ausgabe von which) ist alles in Ordnung: die Zeilen und die Ausgabe stimmen überein.

    Ansonsten:
    Custom-Script-Datei öffnen und die Zeilen auf die "Fundorte" ändern, also die Dateipfade korrigieren, abspeichern und in AFWall+ im Profil > Einstellungen > Anwenden benutzen.
    ___

    Wie testet man das jetzt alles?

    Ich würde es so machen:

    • SIM einlegen
    • In AFWall+ ein "Nur Mobile Daten"-Profil einrichten bzw. aktivieren
      (In diesem dann die korrekten Pfade zu den Custom-Scripts eintragen; an "Punkt Leerzeichen Schrägstrich ..." denken)
    • Dieses Profil aktivieren und Einstellungen > Anwenden
    • Flugmodus ausschalten
    • W-LAN ausschalten
    • Netzwerklog öffnen und das Logging erstmal deaktivieren
    • Menü > Einstellungen > Allgemeine Optionen > Protokolliere hinter Firewall
    • Menü > Einstellungen > Log Service > Iptables Watchdog > Haken setzen
    • Menü > Einstellungen > Log Service > Protokollieren nach Hochfahren > Haken setzen
    • Menü > Löschen > Alte Einträge "Jetzt" und Haken bei Logdatei löschen > Button [ Löschen ]
    • Mobile Daten einschalten
    • Phone genau in diesem Zustand ausschalten
      _
    • Phone wieder einschalten, SIM-PIN eingeben und 5 Minuten liegen lassen - wirklich nichts machen
    • Dann mit dem Browser kurz surfen, Emails holen, chatten, evtl. andere Sachen mit Internet-Zugriff machen
      _
    • Jetzt Networklog öffnen und im "Apps"-Protokoll auf "(0) root" tappen, um die Liste aufzuklappen: gibt es Einträge mit der IP 208.67.220.220 (bzw. 208.67.222.222) oder dem Domain-Namen von OpenDNS und dem Port 53 (bzw. DNS) der Mobilfunkschnittstelle (z. B. UDP/rmnet0), dann funktioniert alles
    Hier exemplarisch zwei Screenshots mit korrektem Verhalten (DNS-Abfragen von "(0) root") - Ich verwende abweichend die IP 208.67.220.220 von OpenDNS (anstatt 208.67.222.222):
    _
    Korrekte-DNS-Server-Abfrage-beim-Surfen(root).png Korrekte-DNS-Server-Abfrage-bei-(0)root.png
    _
     
    Zuletzt bearbeitet: 08.03.2015
  7. eldoblo, 07.03.2015 #107
    eldoblo

    eldoblo Junior Mitglied

    Hallo,

    hoffentlich habe ich nicht den "Faden verloren". Die ".text-Endung" kann ich nicht entfernen und habe den Pfad:

    . /storage/emulated/0/AFWall Skripte/afwall-start-script.txt
    (mit . und Leertaste)

    komplett in das obere und untere Feld im Bereich Skript festlegen bei der AFWall (mit 920 Texteditor, Version 12.11.23/05.12.2012 von F-Droid, deutschen Text kann ich nicht finden) hineinkopiert.

    Mit dem Ergebnis das die F-Wall sich deaktiviert und die Fehlermeldung IP-Tables Regel.......angezeigt wird.

    Im Terminal-Emulator für which IP/6-Tables erscheint /system/ bin/iptables uoa2.......

    Mit Amaze-File-Manager
    ist der Pfad für die afwall-start-script.txt Datei: storage/emulated/0/afwallskripte.

    IP-Tables Binärdatei steht auf Auto.

    Busybox Binärdatei steht auf Integrierte Busybox.

    Liegt es an der .text?
    Weiß nicht weiter.
     
  8. ooo

    ooo Threadstarter Android-Guru

    SD Card und korrekter Dateipfad des Scripts:

    Du benutzt
    Bei Leerzeichen im Dateipfad muss man Anführungszeichen setzen:
    Unter UNIX/Linux wird - anders als unter Windows - zwischen Groß- und Kleinschreibung unterschieden. - "AFWall Skripte" ist nicht "afwall skripte".

    Probiere bitte im ersten Feld
    Probiere im zweiten Feld
    ___

    Wenn dies nicht funktioniert, dann

    Probiere im ersten Feld
    Probiere im zweiten Feld
    ___

    920 Text Editor:
    Sorry für den frei erfundenen deutsch-sprachigen 920 Text Editor, da habe ich wohl etwas verwechselt (ich arbeite meistens mit Englisch auf dem Androiden).

    Dateien umbenennen:
    Manche Filemanager lassen es nicht zu eine Datei ohne Dateinamen-Erweiterung umzubenennen, wenn nicht als letztes Zeichen ein Punkt benutzt wird.

    Beispiel "Umbenennen ohne Erweiterung":

    "afwall-start-script.txt" ändern auf "afwall-start-script." (mit Punkt am Ende)

    Damit klappt es vielleicht, die Dateien umzubenennen.
    Wenn nicht, dann einfach so lassen - auch mit ".txt" am Ende funktionieren die Dateien in AFWall.

    Keine Sorge, du bist auf dem Weg ans Ziel. - Einen schönen Start in den Tag ...
     
    Zuletzt bearbeitet: 08.03.2015
  9. eldoblo, 08.03.2015 #109
    eldoblo

    eldoblo Junior Mitglied

    @000

    habe alles nochmal gelöscht und neu installiert.
    Dank deiner ausführlichen Erklärungen funktioniert der Start-Skript jetzt endlich.

    Funktioniert auch mit Dateierweiterung ".txt!

    Allerdings ist immer noch die zusätzliche Mobilnetzwerksuche und das damit verbundene ein- und auslog Phänomen seit der installation der AFWall vorhanden.

    Aber nicht so wichtig.

    Der Graph Netzwerklog zeigt resolver2.opendns an.
    Netzwerk-Teillog: ......208.67.220.220,53,10.......UDP.
    Die "53" für den Port, ok?


    Die "Schülerhilfe" hat funktioniert, kann nun auch mit # im 920-Texteditor arbeiten, Danke
     
  10. ooo

    ooo Threadstarter Android-Guru

    @eldoblo - Danke, aber wir sind alle Schüler - bis in den Tod.

    Ja, alles, was du beschrieben hast, ist soweit richtig.
    Schön, dass du es hinbekommen hast :thumbup:

    PS: Was dieses von dir beschriebene Ein-/Auslog-Problem bzw. die Mobilnetzwerksuche sein könnte, weiß ich leider nicht. - Nur geraten, muss nicht stimmen: Vllt. versucht dein Provider aus dem erzwungenem DNS "auszubrechen", um dir seine Einstellungen wieder "unterzuschieben", indem er nochmal die Verbindung kappt (Stichwort dazu: DHCP - DNS Push)? - Wie angedeutet: Wilde Spekulation ...

    ___


    @Timoo

    Hi, nach einer Zeile muss man [ Enter ] benutzen.
    Nach meiner Dokumentation hat man also 2 Zeilen im ersten Feld unter "Skript festlegen". - Jede Zeile, die mit einem Raute-/Nummernkreuz-Zeichen beginnt, wird nicht verarbeitet, also ignoriert. - Im zweiten Feld funktioniert dies genauso.

    Code:
    [B][COLOR=Red]Zeile 1[/COLOR][/B] iptables -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.222.222:53 [COLOR=Red][B]ENTER [/B][/COLOR]
    [B][COLOR=Red]Zeile 2 [/COLOR][/B]iptables -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 208.67.222.222:53 [B][COLOR=Red]ENTER[/COLOR][/B]
    [COLOR=Red][B]Leere Zeile 3[/B][/COLOR]
    Du kannst aber auch alles in eine Datei schreiben und dann diese Datei benutzen.
    Schau dir dazu das mal an (click)

     
    Zuletzt bearbeitet: 10.03.2015
  11. ooo

    ooo Threadstarter Android-Guru

    @Timoo

    Edit: Ich habe hier auf einen Beitrag von dir geantwortet. - Dieser ist aber jetzt "verschwunden"? - Egal ...

    Benutzt du die Dateien oder hast du die Zeilen selber eingetippt?
    Wenn du eingetippt hast, kann es an einem Tipp-Fehler liegen.
    Das passiert sogar mir ganz schnell.
    Es muss wirklich exakt eingegeben werden.

    Ich würde jetzt erstmal die beiden Felder unter "Skript festlegen" komplett löschen, dann alle Einstellungen aus dem Start-Posting überprüfen und danach erstmal das Phone neu starten und schauen, dass die Firewall in diesem Zustand korrekt läuft.

    Dann die Dateien (afwall-start-script.txt, afwall-stop-script.txt) benutzen, wie in den letzten Beiträgen detailliert beschrieben.

    Dass das funktioniert, hat ja @eldoblo gerade "bewiesen", also muss es für dich auch klappen.

    (Falls du die Dateien benutzt: Vergiss nicht zu überprüfen, ob deine iptables-Pfade im System und in den Dateien übereinstimmen. - Sonst wird das nichts.)
     
    Zuletzt bearbeitet: 08.03.2015
  12. eldoblo, 08.03.2015 #112
    eldoblo

    eldoblo Junior Mitglied

    Hallo,

    Netzwerklog: >Log
    nur root und Mailverkehr, das wäre ja ok, weil nur Core-0-root und Benutzer Apps angehakt/zugelassen.

    unter Netzwerklog: >App erscheint allerdings:

    (1000)-Android-System,
    (1000) ANT-Hall-Service,
    (1000) Aplicatio-Installer,
    (1000) Bluetooth-Test
    und weitere 40 Apps.......
    mit immer einem Paket und 60Byte?

    Text mit: .......west-1.compute.amazonaws.com.......

    Wie ist das zu verstehen?
    Haben diese Apps alle root?
    Nur ohne Haken bei 0-root
    läuft ja nix.
     
  13. ooo

    ooo Threadstarter Android-Guru

    Gehen da Sachen rein (empfangen) oder raus (gesendet)? - Empfang ist kein Problem.
    1000 ist der System-User (Android-System - Das ist NICHT der User "0 root".). - Hast du diesen (1000) in der Firewall freigeschaltet? - Besser nicht.
    Die 40 einzelnen Apps mit immer 1000 siehst du, weil diese alle unter dem System-User zusammengefasst wurden (ist das ein Samsung?).
    Ich lasse den System-User (1000) nicht in das Internet und muss dann eben auf z. B. "Kombinierte Standortbestimmung" verzichten. - Brauche ich auch nicht.
    Wenn du *irgendeine* der 40 Apps mit der ID 1000 rauslässt, dürfen alle raus, das ist das Problem.

    Fast vergessen: Der Traffic für eine 1000er App wird bei ALLEN Apps gleichzeitig verbucht, es sind dann nicht zum Beispiel 40 Bytes durchgegangen, sondern nur 1 Byte, welches aber bei allen 40 Apps mit je 1 Byte protokolliert wird.

    Noch etwas: Um nur den "echten" Traffic raus (ins Internet) zu protokollieren, musst du in den Einstellungen immer bei "Hinter Firewall protokollieren" einen Haken setzen, sonst siehst du auch den Traffic der das Phone nicht verlässt (also geblockt wird). - Der interessiert aber nicht ...
     
    Zuletzt bearbeitet: 08.03.2015
  14. an0n

    an0n Android-Hilfe.de Mitglied

    Ich empfehle auch keine Internetberechtigung für UID 1000 (Android-System), da haben auch gleich weitere Systemapps Internetzugriff, für welche aber ein Internetzugriff nicht notwendig ist. Unter Lollipop sind es gleich 10 Systemapps.
     
  15. eldoblo, 08.03.2015 #115
    eldoblo

    eldoblo Junior Mitglied

    Hallo,

    der Modus steht bei allen Profilen "auf ausgesuchte erlauben" und es ist bei keinem Profil der Haken für (1000)-System-User-Android gesetzt.

    In der App Netzwerklog nicht im Log, sondern unter dem Appbereich waren die alle mit der gleichen Datenanzeige/menge und dem Text: .......west-1.compute.amazonaws.com.......
    aufgeführt!?

    Es wird z.B. für Netzwerklog auch root angefordert, so müsste root ja funktionieren.

    Kann ich nur weiter beobachten.

    Mit dem Amaze-File-Manager würde ich gern den Polaris-Viewer u.a. deinstallieren, zu gefährlich? Der ist sicherlich stark in das System (beginnt mit dem "".-Pfad"")eingebunden.

    Warum tauchen eigentlich manche "Apps doppelt" auf?
    Bei Einstellungen>Anwendungsmanager>Alle erscheinen z.B Fernzugriff, S-Planer und Software-Update zwei mal.

    Würde am liebstem ein anderes ROM installieren um diese vielen nicht genutzten Apss los zu werden. Vielleicht noch ein bischen zu früh.
     
  16. ooo

    ooo Threadstarter Android-Guru

    @eldoblo

     
  17. eldoblo, 09.03.2015 #117
    eldoblo

    eldoblo Junior Mitglied

    @000

    habe wohl ein größeres Problem!

    AFWall:
    Die (1000)-System-User ist nirgends zugelassen!

    14: (NTP) ist nicht zugelassen,
    netd ist deaktiviert!

    Start- und Stopscript aktiv,
    # nur bei den beiden Zeilen im Start-Skript mit den $-zeichen entfernt um Zeitserver-Uni zu nutzen.

    Nur Folgende sind im Modus "ausgewählte erlauben" durch Haken gesetzt aktiv:

    -10151: Internet (Samsung)
    -0: (Root)

    und diverse: F-Droid, K-9 Mail usw. (an diesen Benutzer-Apps kann es nicht liegen da beim ersten Test nicht zugelassen).

    Hinter Firewall zeigt Netzwerklog wieder (verbotenen) traffic:


    gesendet Uni-Erlangen...... 76 bytes
    empfangen west1-compute-amazonawas...... 60 bytes,

    dies für alle (1000) Apps.

    Hat das was mit dem Zeitserver/Browser zu tun? Wie kann ich das unterbinden?
     
  18. ooo

    ooo Threadstarter Android-Guru

    @eldoblo

    Ich habe kein Samsung mit 4.4.2-ROM hier und du hast hier auch dein Phone (Marke, Modell, Typ) und deinen kompletten ROM-Buildstring (Einstellungen > Über das Telefon > ... ) nicht genannt. (Screenshot?)

    Auch hast du meine Frage nicht beantwortet, ob bei den 1000er-User-Apps auch Traffic GESENDET wird oder nur empfangen (nur Empfang ist kein Problem). (Screenshot?)

    Deswegen kann ich dir nicht so weiterhelfen, dass es dir etwas nützt.

    Die Zeit wird IMMER geholt (mit und ohne Firewall, geblockt und ungeblockt. - Wenn geblockt, dann über das Mobilfunknetz des Providers - Stichwort suchen: NITZ, sonst über die Mobilen Daten = Internet = "-14: NTP"). - Nur den zu benutzenden Zeit-Server kann man kontrollieren (zur Uni erlaubst du es ja wieder, das ist ja okay). - Wenn du das komplett abstellen willst, schau dir das mal an. - Das hat dann aber Nachteile, ich würde es einfach so lassen, wie es ist.

    Probier' mal diese App 10151 Internet (Samsung) zu blocken.
    Versuchsweise, wenn du das nicht schon blockiert hast, zusätzlich auch "-11: Linux Kernel" o. ä. (ich blockiere das permanent).

    Dann mach' den Test nochmal, wie weiter oben von mir beschrieben (oder, wie du das halt machst).
    Erzähl' uns das Ergebnis, wenn du soweit bist ... (Screenshot?)

    Tipp (an alle): Ein Screenshot von dir in deinen Beiträgen ab und zu wäre übrigens Gold wert ... (das geht z. B. so). - Ich bin zwar nahe dran, Hellsehen zu können, aber noch nicht perfekt ... (joke)

    Um Screenshots hochzuladen, schreibst du mit dem Browser einen neuen Beitrag und als erstes klickst du auf den [ Erweitert ] Button unter dem Text-Feld.

    Dann hast du weiter unten eine Möglichkeit, Dateien hier hochzuladen (Button [ Anhänge verwalten ]).

    Eine andere Möglichkeit ist, auf dem Phone Tapatalk oder die Android-Hilfe-App zu benutzen. - Damit ist es dann ganz easy ...

    Weiterer Tipp:
    Nur zur Info (evtl. nicht aktuell)
    Samsung Apps und kurze Erklärung


    Der ursprüngliche Beitrag von 11:19 Uhr wurde um 12:47 Uhr ergänzt:

    Noch etwas: Falls du SuperSU von Chainfire oder was Ähnliches benutzt:
    Mach die Option "Trust System User" aus und starte das Phone neu.
     
    Zuletzt bearbeitet: 09.03.2015
  19. an0n

    an0n Android-Hilfe.de Mitglied

    Bei Stockroms irgendwelche Systemapps zu deinstallieren führt oft zu Stabilitätsproblemen. Deswegen wärs besser mit AOSP/CM-basierten Roms Afwall laufen zu lassen. Bei CM12 stehen 10 Apps für UID1000, bei Stockroms ca. 40 (deutlich mehr).
     
  20. eldoblo, 09.03.2015 #120
    eldoblo

    eldoblo Junior Mitglied

    Hallo 000,

    nach einigen Versuchen
    liegt die Vermutung nahe, dass
    Bluetooth-Test und Bluetooth-Freigabe usw.
    ungewollten traffic verschickt.
    (evtl. auch die Systemwetterapp)

    Die (1000) + (1002) -System-User Variante ist nirgends zugelassen, wird dann aber wie von "Geisterhand" aktiviert und die vielen Systemapps werden mit der gleichen Anzahl von Bytes gefüllt.

    Das passiert wenn der Flugzeugmodus ein und wieder ausgeschaltet wird und Mobile Daten eingeschaltet wird. Dann erfolgt auch wieder die Mobilfunk-netzsuche (ISP?).

    Bluetooth brauche ich nicht, aber entfernen bringt Stress, oder?
    So, weiter weiß ich auch nicht.

    @000, danke für die Tips.
     

    Anhänge:

Die Seite wird geladen...
Ähnliche Themen Forum Datum
Wie wichtig sind die Sicherheitspatches für Android-Geräte? Android Sicherheit - AntiVirus, Firewalls, Datenschutz, Verschlüsselung 07.06.2018
Neues Telefon, was machen bevor man zum ersten mal online geht? Android Sicherheit - AntiVirus, Firewalls, Datenschutz, Verschlüsselung 25.05.2018
Spam Android Sicherheit - AntiVirus, Firewalls, Datenschutz, Verschlüsselung 21.05.2018
Android App Identifizierung Android Sicherheit - AntiVirus, Firewalls, Datenschutz, Verschlüsselung 29.04.2018
Android P: DNS über TLS einstellbar Android Sicherheit - AntiVirus, Firewalls, Datenschutz, Verschlüsselung 18.04.2018
Android Device Protection? Android Sicherheit - AntiVirus, Firewalls, Datenschutz, Verschlüsselung 17.04.2018
Sicherheitsproblem mal andersherum Android Sicherheit - AntiVirus, Firewalls, Datenschutz, Verschlüsselung 16.04.2018
Android komplett ohne Google benutzen ? Android Sicherheit - AntiVirus, Firewalls, Datenschutz, Verschlüsselung 10.04.2018
Datenverkehr via WLAN unterbinden (geht nicht) Android Sicherheit - AntiVirus, Firewalls, Datenschutz, Verschlüsselung 28.03.2018
Android Sicherheit Internet Browser Android Sicherheit - AntiVirus, Firewalls, Datenschutz, Verschlüsselung 25.03.2018

Besucher kamen mit folgenden Begriffen auf unsere Seite:

  1. afwall protokolldienst

    ,
  2. ant hal service amazonaws.Com

    ,
  3. afwall android system 1000

    ,
  4. Afwall android system pfad,
  5. afwall scripte pfad firewall deaktiviert,
  6. afwall binärdateien,
  7. bluetooth afwall,
  8. startskript afwall,
  9. system_user 1000 deutsch
Du betrachtest das Thema "Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)" im Forum "Android Sicherheit - AntiVirus, Firewalls, Datenschutz, Verschlüsselung",
  1. Android-Hilfe.de verwendet Cookies um Inhalte zu personalisieren und dir den bestmöglichen Service zu gewährleisten. Wenn du auf der Seite weitersurfst stimmst du der Cookie-Nutzung zu.  Ich stimme zu.