Verwende auf einem gerooten Gerät bisher die Kombination Adaway, afwall und wireguard app. Adaway ist sozusagen das DNS Filter. Afwall regelt welche Apps unter welcher Verbindung (WLAN, Mobilfunk, VPN) ins Netz darf und Wireguard macht mir einen Tunnel nach Hause (oder in ein anderes Netz).
Nun scheint Rethink die one-for-all-app zu sein, und zudem ohne root auszukommen. Ich hab schon einiges gelesen darüber - auch hier. Aber der mächtige Funktionsumfang macht eine systematische Herangehensweise schwierig. Einzelne Funktionen hab ich schon mal geprüft, aber das Zusammenspiel noch nicht durchdrungen.
Kann mir jemand helfen, in einem ersten Schritt die Funktionen von adaway+firewall in Rethink zu integrieren? Adaway benutzt standardmäßig 3 Filterlisten (eigene, SteveBlack, PeterLowe) mit denen ich bisher gute Erfahrungen gemacht hab. Zwei davon finde ich auch in Rethink. Kann man da auch externe Filterlisten (mit einer URL) angeben? Oder was wäre eure Empfehlung?
Schwerer tue ich mich die Firewall zu verstehen. Da gibt es die „universellen Regeln“, z.B. „Blockiere wenn das Gerät gesperrt ist“. Sinnvoll für vieles, aber sicher nicht für messanger oder eine Warn-App. Ähnliches für „blockiere mobile Daten“. Was ich nicht finde - wo werden dann die Ausnahmen definiert? Vermutlich unter Apps. Wie behält man die Übersicht, wenn die Regeln unter den Tabs (Firewall und Apps) sind?
Wie handhabt ihr System-Dienste. Macht es irgendeinen Sinn die aus Datenschutzgründen einzuschränken? Da tauchen auch Dinge wie „3 Button Navigation Bar“ auf, die ja (hoffentlich) gar keinen Internet-Zugang haben - oder?
Unter Proxy hab ich die Wireguard-Verbindungen importiert. Welche Regeln gelten dann - wird trotzdem zuerst DNS gefiltert und die Firewall-Regeln geprüft und alles was dann noch übrig ist geht in den VPN?
1 „Gefällt mir“
Bei Nutzung von AFwall+ gab ich bisher nur für VPN frei, was ich nutzen wollte, den Rest überließ ich dann NetGuard oder WireGuard(unterschiedliche Profile in AFWall+). Bei Neustarts bemerkt man aber dennoch Lücken.
Da Du AFWall±Nutzer bist, hätte ich diesbezüglich 'ne Frage, hast Du das Log aktiviert und siehst Du, was da noch aktiv geblockt wird, was sich nicht an VPN-Regeln hält?
Hier auf einem Pixel blocke ich per administrativem Tool alle, auch SystemApps, die ich nicht gedenke, zu brauchen, soweit das eben möglich ist, Nutzung nur per WLan und diese alle als kostenpflichtig eingestuft. 3-Button… auch, hab da keine Nachteile feststellen können, Rest erledigt hier NetGuard, dauert halt seine Zeit, alles einzeln freizugeben.
Eigene Versuche mit NetGuard habe ich auch angestellt, allerdings bisher ohne die WireGuardfunktionalität, da es da wohl ein paar Einschränkungen gab. Ich hatte alle Apps auf isolated gestellt und ein paar Apps getestet, funktionierte ansich. Wichtig sind eben die individuellen Grundeinstellungen.
Ich würde Rethink-DNS ansich auf einem neuen Gerät oder wenigstens in separaten Profil erstmal wieder testen.
Mh, da bist du offenbar viel tiefer drin. Ich hab auch kein Netguard und Wireguard filtert soweit ich weiß gar nicht, sondern leitet nur in den VPN. Auch hab ich das Zusammenspiel von VPN und AFwall+ bisher nie kapiert. Was ist wenn der VPN via mobiledata funktioniert. Muss die App dann für mobile Daten oder VPN oder beides freigegeben werden? Ich hatte da komische Ergebnisse - erinnere mich aber nicht mehr so genau. Kann sein, dass das damal auch noch mit IPvsec lief.
Das Log hatte ich bisher nicht an.
Was meinst du mit „alles per administativen Tool blockieren“? Welchem Tool? Bei Pixel bist du bestimmt auf GOS, oder?
Ich kapiere bei den universellen Regel auch nicht was das sein soll:
„Blockiere jede App, die nicht in Benutzung ist“
Und wie kann man eine App blockieren, wenn sie DNS umgeht? Wie wird das festgestellt und wie kann man das dann blockieren?
Mit AFWall+ muß man einigen „Apps“ alle genutzten Verbindungen(Lan, Wlan, Mobil, Roaming, …) freigeben. Unter Android 11 sind das hier fürs VPN per WireGuard nur die ID 1073 und die jeweils genutzte VPN-App, der dann nur VPN nicht, wenn alle anderen Apps das VPN nutzen sollen. (eine Zeitlang versuchten paar Apps von Google dennoch am VPN vorbeizukommen, wenn man das zulassen möchte, dann muß man eben freigeben, Verbindungsversuche sieht man im Log)
Den anderen, nur den benötigten Apps, dann in der Regel nur das VPN in AFWall+ freigeben.
Das Blockieren der Apps, die den DNS umgehen wollen muß die VPN-App übernehmen, also welche Pakete ins VPN gehen, NetGuard und ReThinkDNS können das, individuelle Regeln in AFWall+ sind mir zuviel und zu umständlich ohne GUI zu handhaben.
Bin jetzt ein wenig weiter. Wahrscheinlich steht das genau schon mal irgendwo so, aber ich habs damit nicht kapiert. Manches muss man selbst probieren um eine Idee der Funktionsweise zu bekommen. Bitte: Wenn ich hier was falsches erzähle - korrigiert mich. Ich hab hier keine Umgebung in der ich das echt überprüfen kann.
Teil 1: DNS / Ersatz Adaway:
Da wählt man ganze Listen aus. Diese haben wohl Priorität, also vorsicht bei der Auswahl! Was da geblock wird, kann man auch via Firewall nicht wieder freigeben. Keine Regel ohne Aussnahme: In den App-Settings kann man pro App „Umgehe DNS+Firewall“ auswählen.
Soweit ich verstanden hab, kann man
- Firewall umgehen
- DNS und univ Firewall regeln umgehen.
Aber man kann nicht pro App die DNS umgehen und die Firewall allein es regeln lassen.
Teil 2: Firewall
2a) globale/universelle Regeln
Hier kann es Sinn machen auszuwählen:
- „Blockiere alle Apps wenn Gerät gesperrt ist“
- „Blockiere neu installierte Apps“
- „Blockiere mit Mobilfunkdaten“ (wenn man keinen großen Datenvertrag hat
- „Blockiere Apps die nicht in Benutzung sind“ - das hab ich nicht verstanden.
- „Blockiere, wenn DNS umgangen wird“ - mh, erkennt Rethink wenn wenn IPs hard coded aufgerufen werden? Und was kann ich daraus schließen? Das es Malware ist?
Mit diesem Setting sind erst mal alle Apps erlaubt via Wifi.
2b) Ein anderer Ansatz wäre die globale Regel:
„Blockiere alles ausser umgehende Apps und IPs“. Das verstehe ich so, dass jede App einzeln freigegeben werden muss. Das kommt dem AFWall Ansatz recht nahe und ist vielleicht am klarsten.
2c) Apps:
Ich unterteile die mal in 3 Kategorieren:
- system
- apps via FDroid (FOSS)
- apps via Aurora/PlaySto
Leider gibt es keine Filterung nach Apps die überhaupt Netzwerk Zugriff anfordern. Deswegen hat man eine Riesenliste. Speziell bei den Systemapps hab ich keinen Plan was wofür gut ist. Wenn man bei einem Custom Rom ist und Anfänger - erlaubt man die mal besser - auch für Mobile Daten.
Bei Auswahl von 2b) wird für diese Apps „Umgehe DNS und Firewall“ ausgewählt. Gleiches könnte man auch für die FOSS Apps machen.
Mir scheint aber die „Universelle Umgehung“ (damit sind die universellen Firewall Regeln gemeint) besser - denn damit bleibt zumindest der DNS Filter und inidviduelle Firewall Regeln aktiv.
Aufwändig wird es für die „unsicheren“ Apps aus dem Playstore. Wenn man sich Zeit nimmt, dann isoliert man diese Apps und gibt dann die Domänen frei, die für das funktionieren nötig sind. Das ist ein gewisses Trial und Error und braucht ein paar Minuten. Aber am Ende fließt eben nur ein Minimum an Daten. Ob das zuviel ist muss jeder selbst entscheiden und notfalls die App löschen.
Teil 3) VPN:
Wenn man Adaway/AFwall+ im root Modus betreibt, geht VPN ganz normal. Hat man kein root, dann wird schon durch die Adaway ein VPN simuliert. Dann kann man keinen eigenene VPN nutzen.
In Rethink ist das mit integriert. Also mann kann die VPN Einstellungen in der App machen. Was ich nicht weiß, ob die DNS/Firewall Settings immer noch prio haben (das wäre für mich eigentlich wichtig, denn ich hab daheim keinen PiHole der das erledigen könnte).