Pizzapeter
Erfahrenes Mitglied
- 39
Ja, das klingt gut, werd ich ausprobieren. Bleibt noch das andere Problem, aber eins nach dem anderen... Werde berichten 
Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)
Pizzapeter
Erfahrenes Mitglied
- 39
So, direkt gescheitert.... AFWall lässt sich weder deaktivieren noch deinstallieren, beide Felder sind Grau. Das selbe nachdem ich der Wall Root entzogen, und auch neu gestartet habe... 
fireburner
Stammgast
- 371
Geht's vielleicht übern Play Store deinstallieren? Ansonsten gilt nur manuell die apk und Daten in der /data Partition zu löschen.
Edit: mir fällt gerade ein, das AfWall.ne Einstellung hat die verhindert, dass es deinstalliert werden kann. Also mal die Einstellungen durchschauen.
Edit: mir fällt gerade ein, das AfWall.ne Einstellung hat die verhindert, dass es deinstalliert werden kann. Also mal die Einstellungen durchschauen.
Pizzapeter
Erfahrenes Mitglied
- 39
Jetzt läuft es 
hab mit der Suche noch ein Post von ooo gefunden: Start Datenleck Fix aus, Regeln löschen, Firewall deaktivieren, erst dann deinstallieren... Regeln löschen ging nicht, hab noch den GeräteAdmin entfernt, dann ging es. Danke auch unserem Themastarter.
Leider läuft die Neue noch nicht perfekt, hat sich mehrmals selbst deaktiviert mit der Meldung: Fehler beim anwenden der Regeln... Im Protokoll war nichts auffälliges zu sehen Und ob ich updaten kann mit F droid... Hab die neuste Version. Problem 2 hat sich erstmal erledigt, da ich noch kein neues Script eingefügt habe, so werd ich das erst testen.
hab mit der Suche noch ein Post von ooo gefunden: Start Datenleck Fix aus, Regeln löschen, Firewall deaktivieren, erst dann deinstallieren... Regeln löschen ging nicht, hab noch den GeräteAdmin entfernt, dann ging es. Danke auch unserem Themastarter. Leider läuft die Neue noch nicht perfekt, hat sich mehrmals selbst deaktiviert mit der Meldung: Fehler beim anwenden der Regeln... Im Protokoll war nichts auffälliges zu sehen
Und ob ich updaten kann mit F droid... Hab die neuste Version. Problem 2 hat sich erstmal erledigt, da ich noch kein neues Script eingefügt habe, so werd ich das erst testen.
Y
York
Neues Mitglied
- 11
Hallo ooo und an0n
und natürlich ein Servus an alle anderen hier,
mir ist aufgefallen, dass Ihr in Euren Scripts teilweise andere Parameter in den Anfangszeilen verwendet als das Script vom Kuketz. Z.B. -X statt -F, fehlendes FORWARD, einige extra Befehle mit security und raw Parametern, etc. Das alles kommt mir gerade etwas Spanisch vor. Wäre toll, wenn Ihr kurz erläutern könntet, warum ihr entsprechend abgeändert habt bzw. andere Einstellung präferiert.
Viele Grüße
und natürlich ein Servus an alle anderen hier,
mir ist aufgefallen, dass Ihr in Euren Scripts teilweise andere Parameter in den Anfangszeilen verwendet als das Script vom Kuketz. Z.B. -X statt -F, fehlendes FORWARD, einige extra Befehle mit security und raw Parametern, etc. Das alles kommt mir gerade etwas Spanisch vor. Wäre toll, wenn Ihr kurz erläutern könntet, warum ihr entsprechend abgeändert habt bzw. andere Einstellung präferiert.
Viele Grüße
F-Droid und AFWall+ – Android ohne Google?! Teil4 • Kuketz IT-Security Blog
Code:
##
## iptables.sh
## AFWall+ additional firewall rules
## Mike Kuketz
## www.kuketz-blog.de
## Changes: 25.08.2014
##
IPTABLES=/system/bin/iptables
IP6TABLES=/system/bin/ip6tables
# All 'afwall' chains/rules gets flushed automatically, before the custom script is executed
# Flush/Purge all rules expect OUTPUT (quits with error)
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IP6TABLES -F INPUT
$IP6TABLES -F FORWARD
$IP6TABLES -t nat -F
$IP6TABLES -t mangle -F
# Flush/Purge all chains
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
$IP6TABLES -X
$IP6TABLES -t nat -X
$IP6TABLES -t mangle -X
# Deny IPv6 connections
$IP6TABLES -P INPUT DROP
$IP6TABLES -P FORWARD DROP
$IP6TABLES -P OUTPUT DROPCheckliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)
Code:
#
# /data/local/afwall/afwall-start-script
#
IPTABLES=/system/bin/iptables
IP6TABLES=/system/bin/ip6tables
# Flush/Purge INPUT rules (All 'afwall' chains/rules gets flushed automatically, before the custom script is executed)
$IPTABLES -F INPUT
# Flush/Purge all chain
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
#$IP6TABLES -X
#$IP6TABLES -t nat -X
#$IP6TABLES -t mangle -X
# Deny IPv6 connections
#$IP6TABLES -P INPUT DROP
#$IP6TABLES -P OUTPUT DROPIPv4-Firewall-Patch (ASN-Blockliste, Security-Iptables, DNS)
Code:
#!/system/bin/sh
# Blacklist by 4non - January 2016
# denies all connections to big snifflers
# some rules taken from: github.com/ukanth/afwall/wiki/CustomScripts
# android-path: /system/su.d/ (SuperSu-Boot-Script)
####################################################
IPTABLES=/system/bin/iptables
IP6TABLES=/system/bin/ip6tables
# Wait until Startup-Leakage-Script finishes
$IPTABLES -A OUTPUT --wait
$IPTABLES -A INPUT --wait
$IPTABLES -A FORWARD --wait
$IP6TABLES -A OUTPUT --wait
$IP6TABLES -A INPUT --wait
$IP6TABLES -A FORWARD --wait
# Reset all Iptable rules
$IPTABLES -F
$IPTABLES -X
$IPTABLES -t nat -F
$IPTABLES -t nat -X
$IPTABLES -t mangle -F
$IPTABLES -t mangle -X
$IPTABLES -t raw -F
$IPTABLES -t raw -X
$IPTABLES -t security -F
$IPTABLES -t security -X
$IP6TABLES -F
$IP6TABLES -X
$IP6TABLES -t nat -F
$IP6TABLES -t nat -X
$IP6TABLES -t mangle -F
$IP6TABLES -t mangle -X
$IP6TABLES -t raw -F
$IP6TABLES -t raw -X
$IP6TABLES -t security -F
$IP6TABLES -t security -X
# Deny IPv6 connections
$IP6TABLES -P OUTPUT DROP
$IP6TABLES -P INPUT DROP
$IP6TABLES -P FORWARD DROPPizzapeter
Erfahrenes Mitglied
- 39
Hi, Firewall läuft soweit... hab jetzt mehrere Profile gemacht, und im Standartprofil das Script aus dem Startpost eingefügt, jetzt kann ich die Firewall im Standartprofil nicht aktivieren... im anderen Profil geht es. Hab dabei auch gemerkt das in post 407 von mir gezeigte Script nicht vollständig war, es fehlt :53 
Pizzapeter
Erfahrenes Mitglied
- 39
Hi
Nachdem AFwall sich abwechselnd nicht mehr aktivieren oder deaktivieren lassen wollte, habe ich sie wieder deinstalliert. Dabei ließ sich das Script nicht entfernen... Danach hab ich im Dateimanager alles was ich von AFwall gefunden hab gelöscht, und mein CM11 neu installiert. Das war mit Version 2.2.3 jetzt hab ich 2.2.1 neu installiert, und hab kein Script eingetragen. In der genannten Gastronomie komme ich zwar ins Wlan, aber nicht ins WWW... siehe unten, in alle anderen Netze komme ich rein. Nun könnte es sein das noch irgendwo das Script existiert... so mein Gedanke, ich hatte es ja auch bei der ersten Deinstallation von Version 1.4.3.... nicht entfernt
Nachdem AFwall sich abwechselnd nicht mehr aktivieren oder deaktivieren lassen wollte, habe ich sie wieder deinstalliert. Dabei ließ sich das Script nicht entfernen... Danach hab ich im Dateimanager alles was ich von AFwall gefunden hab gelöscht, und mein CM11 neu installiert. Das war mit Version 2.2.3 jetzt hab ich 2.2.1 neu installiert, und hab kein Script eingetragen. In der genannten Gastronomie komme ich zwar ins Wlan, aber nicht ins WWW... siehe unten, in alle anderen Netze komme ich rein. Nun könnte es sein das noch irgendwo das Script existiert... so mein Gedanke, ich hatte es ja auch bei der ersten Deinstallation von Version 1.4.3.... nicht entfernt
Anhänge
an0n
Fortgeschrittenes Mitglied
- 62
@Pizzapeter: überprüfe ob der afwalldatenleckfix in system/etc/init.d drin ist, dann lösche es. ansonsten wenn der fehler weiterbesteht, kann es nicht an afwall liegen, sondern eher an sonstigen Einstellungen am Phone oder an dem Netz in der Gastro.
@York: Diese Regeln sind dazu da um einen Reset bestehender Iptable-regeln durchzuführen und IPv6 zu blocken, ich hab meines umfangreich gemacht bzw. alle tables werden resettet und es muss in meinem fall in den su.d ordner.
X bedeutet löschen, F ebenfalls, was der Unterschied ist weiss ich nicht so genau) Ich hab in meinem script X sowie F drin (wie von ukanth empfohlen), es kommt zu keinem Fehler wenn es in su.d ladet.
zweites Beispiel: wenn das phone bootet, wird es in /data/local geladen, wenn -F regeln drin wären, würde es zu Fehlern führen, das steht auch im ersten Beispiel (F Output quits with error)
Im ersten Beispiel bzw. Script von kuketz wird es empfohlen über die interne SD zu verbinden, ab Android 5 ist das aber nicht mehr möglich Scripte von der SD auszuführen, wenn überhaupt dann per copy und paste nach afwall.
Das zweite Beispiel würd ich nicht nehmen, da es in Konflikt stehen würde mit dem afwall startup-datenlekfix, das ebenfalls beim booten startet (init.d ordner), das script im su.d ordner wiederum startet direkt nach den init.d scripten.
Allgemein ist das Resetten nur wichtig, wenn man eigene/benutzerdefinierte Iptable-Regeln reinsetzt.
Inzwischen hab ich aber rausgefunden, dass es keine 'ip6tables -t nat' und 'ip6tables -t security' gibt, die anderen aber gibt es und sollten aufgelistet sein.
@York: Diese Regeln sind dazu da um einen Reset bestehender Iptable-regeln durchzuführen und IPv6 zu blocken, ich hab meines umfangreich gemacht bzw. alle tables werden resettet und es muss in meinem fall in den su.d ordner.
X bedeutet löschen, F ebenfalls, was der Unterschied ist weiss ich nicht so genau) Ich hab in meinem script X sowie F drin (wie von ukanth empfohlen), es kommt zu keinem Fehler wenn es in su.d ladet.
zweites Beispiel: wenn das phone bootet, wird es in /data/local geladen, wenn -F regeln drin wären, würde es zu Fehlern führen, das steht auch im ersten Beispiel (F Output quits with error)
Im ersten Beispiel bzw. Script von kuketz wird es empfohlen über die interne SD zu verbinden, ab Android 5 ist das aber nicht mehr möglich Scripte von der SD auszuführen, wenn überhaupt dann per copy und paste nach afwall.
Das zweite Beispiel würd ich nicht nehmen, da es in Konflikt stehen würde mit dem afwall startup-datenlekfix, das ebenfalls beim booten startet (init.d ordner), das script im su.d ordner wiederum startet direkt nach den init.d scripten.
Allgemein ist das Resetten nur wichtig, wenn man eigene/benutzerdefinierte Iptable-Regeln reinsetzt.
Inzwischen hab ich aber rausgefunden, dass es keine 'ip6tables -t nat' und 'ip6tables -t security' gibt, die anderen aber gibt es und sollten aufgelistet sein.
Pizzapeter
Erfahrenes Mitglied
- 39
Hi
standardmäßig sind für den Browser Wlan u. Daten erlaubt, hab letztens mal alle 5 Optionen erlaubt, und es hat gefunzt.... wieder deaktiviert, nichts mehr. Gestern hab ich zusätzlich nur Lan aktiviert, und es funzte ??. Ich komme dann auf eine Fritzboxseite wo ich bestätigen muss, das meine Mac Adresse protokolliert wird.
Das AFwall Startscript hab ich mal entfernt, und nach Neustart wieder aktiviert. Aber mein Gedanke war eher mein altes Script, das ich selbst eingetragen hatte. Werde ich demnächst aber mal testen.
standardmäßig sind für den Browser Wlan u. Daten erlaubt, hab letztens mal alle 5 Optionen erlaubt, und es hat gefunzt.... wieder deaktiviert, nichts mehr. Gestern hab ich zusätzlich nur Lan aktiviert, und es funzte ??. Ich komme dann auf eine Fritzboxseite wo ich bestätigen muss, das meine Mac Adresse protokolliert wird.
Das AFwall Startscript hab ich mal entfernt, und nach Neustart wieder aktiviert. Aber mein Gedanke war eher mein altes Script, das ich selbst eingetragen hatte. Werde ich demnächst aber mal testen.
NNW
Neues Mitglied
- 1
...inspiriert durch dieses (AFWall+) Forum und der damit verbundenen Unerstützung (insbesondere durch ooo) ist die Firewall im aktiven Einsatz. Vielen Dank für deine/eure Aktivitäten."Etwas" ist mir aber (noch) nicht ganz klar.
1. Was ist die "-w option" und welche App zickt rum?
2. Warum gegen 45 Pakete an den DNS-Server, obwohl "mein" Browser nocht nicht aktiv/zugelassen war.
3. Wodurch/Warum entstehen unterschiedliche Informationen beim DNS-Check (Remote_ADDR; resolver)?
4. Kann der zeitliche Darstellungsintervall des Firewall-Protokolls verändert/verlängert werden?
Könnt ihr euch die Screenshots mal ansehen und mitteilen was noch verbessert werden sollte?
O
ooo
Enthusiast
- 3.449
- Themenstarter
- #511
Siehe Screenshot (konkurrierende Prozesse; "-w" versucht das zu umgehen, s. a. "man iptables" Terminal > Linux box)NNW schrieb:
Die App/den Prozess kann ich dir nicht sagen. - Es ist ja dein Phone ...
Kandidaten
FAQ · ukanth/afwall Wiki · GitHub
Abgesehen von freigegebenen Anwendungen (Browser etc.), gibt es ja Apps, die während der Startphase bereits ausgeführt werden, ohne dass sie explizit vom Anwender gestartet werden (im Vordergrund). - Auch Linux-Prozesse und andere Hintergrundprozesse können das verursachen.NNW schrieb:
Das kann z. B. daran liegen, dass eine App/ein Prozess eigene DNS-Server (die IPs direkt) benutzt oder (extern) umgeleitet wird, oder daran, dass wechselnd verschiedene Schnittstellen benutzt werden (diverse Mobilfunkprovider/diverse W-LANs). - Remote_ADDR ist (auf der Web Site) die IP Adresse deines Phones (bzw. deines Routers), wie sie der Web Server des Anbieters sieht.NNW schrieb:
Bei AFWall+ Firewall nein (es gibt dort im Log keine Einstellung für das Zeitfenster und keine Zeitstempel). - Wenn du allerdings die App Netzwerk Log meinst, dann geht das in den Einstellungen der App.NNW schrieb:
Anhänge
Zuletzt bearbeitet:
NNW
Neues Mitglied
- 1
...schnelle Antwort, danke.
wollte eigentlich "mini-pics" hochladen und nicht diese großen Bilder/Dateien.
Wenn diese stören, bitte administrativ abändern.
Wie und mit welchen Maßnahmen können diese Hintergrundprozesse in der Starthase verringert werden?
Zuletzt bearbeitet:
O
ooo
Enthusiast
- 3.449
- Themenstarter
- #513
Das ist ein komplett anderes und komplexes Thema. - Prinzipiell geht bei korrekt eingerichteter Firewall nichts nach draußen (auch nicht beim Start des Phones).NNW schrieb:
Zum Deaktivieren von Apps/Prozessen kann man sich z. B. mit folgenden Apps (sehr lange und intensiv - Monate ...) beschäftigen/einlesen:
- Titanium Backup Pro (Deaktivieren/einfrieren von Apps, root-App)
- DisableService (Hintergrund-Prozesse deaktivieren, root-App)
- Autostarts (Beim Starten startende Prozesse/Apps blocken, root-App)
- XPosed plus XPrivacy Module
(Tipp: Ich möchte dich nicht "wegschieben", aber jedes Phone ist anders und erfordert andere "Handarbeit" und permanente Wartung. - Man ist nicht mit dem einmaligen Abarbeiten einer Checkliste fertig ... sorry.)
A
aitsch
Ambitioniertes Mitglied
- 8
Hallo,
Das ist wirklich eine sehr gute Anleitung. Vielen Dank dafür.
Du gehst bei der Konfiguration der Firewall auch auf die VPN Einstellungen ein.
Ich habe mir über die Systemeinstellungen einen VPN Zugang eingerichtet und alle Einstellungen wie von dir beschrieben eingestellt. Mit aktivierter Firewall kommt aber gar nicht erst eine Verbindung zustande. Ich muss die Firewall dazu komplett deaktivieren dann klappt alles wunderbar.
Was muss ich tun, um auch mit aktivierter VPN Verbindung und Firewall zu surfen?
Viele Grüße
aitsch
Das ist wirklich eine sehr gute Anleitung. Vielen Dank dafür.
Du gehst bei der Konfiguration der Firewall auch auf die VPN Einstellungen ein.
Ich habe mir über die Systemeinstellungen einen VPN Zugang eingerichtet und alle Einstellungen wie von dir beschrieben eingestellt. Mit aktivierter Firewall kommt aber gar nicht erst eine Verbindung zustande. Ich muss die Firewall dazu komplett deaktivieren dann klappt alles wunderbar.
Was muss ich tun, um auch mit aktivierter VPN Verbindung und Firewall zu surfen?
Viele Grüße
aitsch
O
ooo
Enthusiast
- 3.449
- Themenstarter
- #515
A
aitsch
Ambitioniertes Mitglied
- 8
@ooo Danke für die schnelle Antwort.
Ich verstehe es so, dass man die UID des GRE-Protokoll-users per Script freischalten muss :
Wobei die UID 104 je Gerät angepasst werden muss.
Weißt du wie ich die passende ID ermitteln kann?
Viele Grüße
aitsch
Ich verstehe es so, dass man die UID des GRE-Protokoll-users per Script freischalten muss :
Code:
IPTABLES=/system/bin/iptables
APT_UID=104
$IPTABLES -A afwall-wifi -m owner --uid-owner $APT_UID -j ACCEPT || exitWobei die UID 104 je Gerät angepasst werden muss.
Weißt du wie ich die passende ID ermitteln kann?
Viele Grüße
aitsch
O
ooo
Enthusiast
- 3.449
- Themenstarter
- #517
Schau in der App Netzwerk Log im Protokoll nach, welche UID(s) / IPs involviert sind, bzw. im AFWall+ Protokoll, was geblockt wurde.
A
aitsch
Ambitioniertes Mitglied
- 8
Klasse Tipp. Mit Netzwerk Log habe ich alle UIDs ausmachen können die auf Port 443 zugreifen.
Das o.g. Script ist nicht nötig gewesen. Man kann alles über die GUI einstellen.
Problem gelöst.Nochmals Danke.
Das o.g. Script ist nicht nötig gewesen. Man kann alles über die GUI einstellen.
Problem gelöst.Nochmals Danke.
Zuletzt bearbeitet von einem Moderator:
Bearbeitet von:
hagex
- Grund: Direktzitat entfernt, Gruß von hagex
K
kaot5
Neues Mitglied
- 1
Hallo Zusammen,
ich habe ein kleines Problem und weiß nicht ganz woran es liegt:
Habe CM13 in kombination mit AF-Wall und xprivacy. Im WLAN kann ich alles was ich empfangen und senden möchte durchführen. Sobald ich ins mobile Netz wechsle funktioniern nicht mehr alle Funktionen: Webbrowser geht, KMail und Clash of Kings nicht. Es wurden bei allen die gleichen Einstellungen gewählt. Es sieht für mich so aus als wäre da noch ein weiterer Portfilter bei mobile Daten aktiv. Bin mir aber nicht sicher, ob xprivacy etwas zuschnürt obwohl es keine beschränkungen gibt.
Ich hatte auch versucht beides zu deaktivieren und das System neu zu starten, ohne Erfolg. Vieleicht doch was vom Betriebssystem?
Hoffe es kann jemand helfen.
Danke schonmal
ich habe ein kleines Problem und weiß nicht ganz woran es liegt:
Habe CM13 in kombination mit AF-Wall und xprivacy. Im WLAN kann ich alles was ich empfangen und senden möchte durchführen. Sobald ich ins mobile Netz wechsle funktioniern nicht mehr alle Funktionen: Webbrowser geht, KMail und Clash of Kings nicht. Es wurden bei allen die gleichen Einstellungen gewählt. Es sieht für mich so aus als wäre da noch ein weiterer Portfilter bei mobile Daten aktiv. Bin mir aber nicht sicher, ob xprivacy etwas zuschnürt obwohl es keine beschränkungen gibt.
Ich hatte auch versucht beides zu deaktivieren und das System neu zu starten, ohne Erfolg. Vieleicht doch was vom Betriebssystem?
Hoffe es kann jemand helfen.
Danke schonmal
O
ooo
Enthusiast
- 3.449
- Themenstarter
- #520
Versuchsweise AFWall+ deaktivieren, dann in AFWall+ die Einstellung Preferences > Fix Startup Data Leak deaktivieren, dann neu starten und testen. - Zu XPrivacy kann ich nichts sagen.
Ähnliche Themen
- Felix76
Felix76
RoBeat1
