Menu

Jednoduchý firewall pro váš Android: AFWall+

Asi jen málokdo si troufne připojit počítač bez aktivního firewallu přímo k Internetu, neboť rizika infiltrace jsou značná a zejména systém Windows XP bez aktualizací bude v takovém případě v řádu jednotek minut úspěšně atakován. Jaký firewall byste si ale měli nainstalovat na svůj mobilní telefon s Androidem? Možností je více – my jsme otestovali AFWall+, který dokáže omezit přístup aplikací k Internetu, takže můžete rozhodnout, které programy mohou na síť pouze při připojení přes Wi-Fi, které i skrze mobilní data, a které naopak vůbec.

Jednoduchý firewall pro váš Android: AFWall+

Jednoduchý firewall pro váš Android: AFWall+

Co AFWall+ slibuje?

Autor hned na prvním místě popisku v Obchodě Play důrazně upozorňuje, že aplikace funguje pouze na rootnutých zařízeních. Pokud nemáte na svém telefonu či tabletu práva roota, je naprosto zbytečné se pokoušet o její instalaci a zprovoznění.

Aplikace samotná je v podstatě jen grafickým uživatelským rozhraním k linuxové funkci iptables, která funguje na tomto operačním systému jako firewall. Uživateli dovoluje určit, které aplikace mají či nemají mít přístup k Internetu prostřednictvím mobilního datového připojení (včetně roamingu) a bezdrátových sítí (samozřejmě bude fungovat i na tabletech s výhradně Wi-Fi konektivitou).

Co jsou iptables?

Odpověď na otázku, co jsou vlastně iptables, jsme našli v české Wikipedii: “iptables je v informatice název pro user space nástroj v Linuxu, který slouží pro nastavování pravidel firewallu v jádře. Pravidla firewallu mohou být stavová i nestavová a mohou ovlivňovat příchozí, odchozí i procházející IP datagramy. Pravidla jsou v jádře zpracovávána několika netfilter moduly.”

Seznam funkcí aplikace AFWall+

Seznam funkcí a vlastností je poměrně dlouhý:

  • Podporuje Android 2.2 až 4.4.x.
  • Import/export pravidel na externí úložiště.
  • Možnost importu pravidel z aplikace DroidWall.
  • Filtrování a vyhledávání aplikací.
  • Více pojmenovaných profilů.
  • Podpora aplikací pro automatizaci telefonu Tasker / Locale.
  • Výběr všech/ničeho/invertování/smazání označení aplikací pro každý sloupec tabulky.
  • Prohlížeč pravidel a záznamů s možností kopírování/exportu do externího úložiště.
  • Zvýraznění systémových aplikací vlastní barvou,
  • Upozornění na nově nainstalované programy.
  • Možnost skrýt ikonu aplikace.
  • Možnost použití gesta pro ochranu aplikace.
  • Zobrazení/skrytí ID aplikace.
  • Nastavení chování pro roaming.
  • Podpora VPN.
  • Podpora LAN.
  • Podpora tetheringu.
  • Podpora IPv6/IPv4.
  • Možnost nastavení aplikace jako správce zařízení, čímž ji ochráníte před odinstalací.
  • Podpora zařízení x86/MIPS/ARM.
  • Nový widget dovoluje přepínat profily.
  • Upozornění na zablokování datových paketů včetně možnosti jejich zobrazení.
  • Aplikace je lokalizována do více než dvaceti jazyků včetně češtiny (slovenské čtenáře zklameme – do slovenštiny ještě nebyl tento program přeložen).

Jak AFWall+ funguje v praxi?

Po prvním spuštění AFWall+ načte seznam aplikací a požádá o práva roota, která mu musíte udělit. Následně se ocitnete v tabulce, kde s pěti sloupci:

  • Ikona aplikace.
  • Zatržítko povolující přístup k LAN.
  • Zatržítko povolující přístup k Wi-Fi.
  • Zatržítko povolující přístup k mobilním datům.
  • Název aplikace.

Po prvním spuštění AFWall+ požádá o práva roota

Po prvním spuštění AFWall+ požádá o práva roota

Seznam aplikací (zde s aktivním filtrem)

Seznam aplikací (zde s aktivním filtrem)

Ve výchozím stavu program běží v režimu White list,

Ve výchozím stavu program běží v režimu White list,

My jsme jako první navštívili nastavení, kde jsme v sekci Languages přepnuli na českou lokalizaci (aplikace tedy ve výchozím stavu běží v angličtině). V horní části okna se dočtete, že program běží v režimu White list, což v praxi znamená, že vybrané aplikace mají přístup k Internetu. Klepnutím na tuto informaci můžete přepnout na obrácený mód Black list, kdy vybrané aplikace mají zakázaný přístup k síti, zatímco ty ostatní přistupovat mohou. Záleží jen na vašich osobních preferencích, který režim vám bude lépe vyhovovat.

Klepnutím na záhlaví sloupců se zatržítky vyvoláte nabídku hromadných operací, kde můžete aktivovat všechna zatržítka, deaktivovat je, případně invertovat dosavadní výběr. V tomto místě se ukazuje ne právě ideální optimalizace grafického rozhraní, kdy poslední tlačítko “přetéká” mimo obraz.

Ikonka lupy slouží, jak by se dalo s ohledem na zvyklosti předpokládat, k vyhledávání v seznamu aplikací. Hledání je průběžné, takže se během zadávání seznam postupně filtruje jen na ty programy, které odpovídají dosud zadaným znakům.

Výběr akce na sloupci

Výběr akce na sloupci

Ikona lupy slouží k vyhledávání

Ikona lupy slouží k vyhledávání

Hlavní nabídka aplikace

Hlavní nabídka aplikace

Nejvíce možností najdete pod tradiční ikonou s třemi tečkami nebo též stisku tlačítka [Menu] na telefonu. Před aplikováním je nutné nastavená pravidla Uložit, poté z té samé nabídky můžete Zapnout firewall (v případě, že je firewall zapnutý, ho právě zde můžete kdykoli vypnout). Nabídka dále čítá tyto položky:

  • Zapnout/vypnout firewall – zastavení a spuštění filtrování síťového provozu firewallem. Při vypnutí aplikace vymaže pravidla, při zapnutí je naopak zapíše.
  • Aplikovat (při vypnutém firewallu Uložit) – zapíše nastavená pravidla do iptables – v případě spuštěného firewallu začínají tímto momentem podmínky platit. Pokud pravidla neuložíte, zeptá se AFWall+ při ukončení, zda si tak přejete učinit.
  • Protokol firewallu – protokolování je nejprve nutné zapnout v nastavení v sekci Předvolby aktivací volby Povolit protokolování firewallu. Poté v této sekci najdete provozní záznamy.
  • Pravidla firewallu – zobrazení souboru iptables.

Pokud pravidla neuložíte, AFWall+ se zeptá

Pokud pravidla neuložíte, AFWall+ se zeptá

Protokol firewallu

Protokol firewallu

Pravidla firewallu

Pravidla firewallu

  • Nastavit heslo – spuštění aplikace AFWall+ lze podmínit zadáním hesla.
  • Vlastní skripty – zadání vlastních skriptů, které budou spuštěny při zapnutí a vypnutí firewallu.
  • Předvolby – nastavení možností aplikace.

Nastavení hesla

Nastavení hesla

Zadání vlastních skriptů

Zadání vlastních skriptů

Možnosti nastavení aplikace

Možnosti nastavení aplikace

  • Znovu načíst – opětovné načtení seznamu nastavených pravidel.
  • Exportovat/importovat pravidla – exportuje pravidla na paměťovou kartu do složky afwall, odkud je lze opětovně importovat (například po návratu systému do továrního nastavení či změně ROM).
  • Importovat pravidla DW – import pravidel nastavených konkurenční aplikací DroidWall.
  • Nápověda – informace o aplikaci a zobrazení odpovědí na nejčastěji kladené otázky.
  • Odejít – opuštění aplikace (neznamená ale ukončení filtrování).

Na vyzkoušení jsme povolili přístup k Internetu pouze Obchodu Play – použili jsme tedy režim White list a aktivovali zatržítka výhradně u této aplikace, zatímco u všech ostatních jsme je nechali neaktivní. Uložili jsme nastavení přes nabídku Aktivovat a ověřili, zda se z jednotlivých programů dostaneme na Internet. Výsledek splnil očekávání – všechny aplikace hlásily nedostupné datové připojení, pouze Obchod Play fungoval jako obvykle, ovšem jen do momentu, kdy jsme začali stahovat aplikace. Nepovolili jsme totiž přístup dalším systémovým službám, proto funkce stahování nebyla schopná dokončit úkol. Poté, co jsme povolili přístup systémovým procesům, jsme již aplikace mohli instalovat bez problémů.

Foursquare má zakázaný přístup k síti

Foursquare má zakázaný přístup k síti

Google+ má zakázaný přístup k síti

Google+ má zakázaný přístup k síti

Obchod Play má povolený přístup k síti

Obchod Play má povolený přístup k síti

V případě nově nainstalovaného programu se při pokusu o přístup na web AFWall+ neptá, což vnímáme asi jako největší nevýhodu. Bezprostředně po nainstalování alespoň upozorní v oznamovací liště, že přibyla nová aplikace, a standardním způsobem pak můžete určit, zda a kdy smí přistupovat k Internetu.

Upozornění na novou aplikaci

Upozornění na novou aplikaci

V režimu white list má aplikace přístup zakázaný

V režimu white list má aplikace přístup zakázaný

V režimu white list zatržítky přístup povolíme

V režimu white list zatržítky přístup povolíme

Na alternativní ROMce CyanogenMod ve verzi 11 M5 fungoval AFWall+ přesně tak, jak bychom očekávali. Překvapení ale přišlo na méně populární ROM OmniROM verze 20140329 NIGHTLY, která sice taktéž běží na Androidu 4.4.2, nicméně bez ohledu na nastavení firewallu všechny aplikace přistupovaly k Internetu skrze mobilní připojení i Wi-Fi. Nefungovalo ani zaznamenávání aktivity firewallu.

Možnosti nastavení

V možnostech nastavení, které najdete pod položkou Předvolby v hlavní nabídce aplikace, můžete například povolit protokolování firewallu, skrýt ikony aplikací ze seznamu, případně aktivovat filtr seznamu, který pomocí přepínače zobrazí jen procesy/aplikace jádra, systémové nebo nainstalované uživatelem. Dále je možné zobrazit identifikátoru UID aplikace a systémové programy odlišit vybranou barvou písma.

Možnosti nastavení AFWall+

Možnosti nastavení AFWall+

Možnosti nastavení AFWall+

Možnosti nastavení AFWall+

Možnosti nastavení AFWall+

Možnosti nastavení AFWall+

Jak jsme zmínili výše, v nastavení také naleznete možnost změny jazyka, ve kterém AFWall+ komunikuje. Kromě hesla lze aplikaci zabezpečit také gestem s omezeným počtem pokusů, před nežádoucí odinstalací program ochráníte nastavením coby správce zařízení.

AFWall+ také může povolit příchozí připojení (například pokud na tabletu/telefonu provozujete nějaký typ serveru) či aktivovat víceuživatelský režim. Užitečné mohou být také profily, mezi kterými lze snadno přepínat, takže není problém mít jednu sadu pravidel například pro firemní síť a druhou, která bude platit při připojení z domova nebo skrze mobilní data. Mezi pravidly lze ale přepínat pouze manuálně, případně přes widget na domovské obrazovce.

Možnosti nastavení

Možnosti nastavení

Možnosti nastavení

Možnosti nastavení

Možnosti nastavení

Možnosti nastavení

Možností je ještě daleko více, nicméně rozebírat je od první do poslední by patrně bylo zbytečné – lokalizace do naší mateřštiny je dobrá a není problém pochopit, co která položka vlastně dělá.

Resumé

Ačkoli je problematika softwarových firewallů poměrně široká a snad pro všechny operační systémy existují velice propracované aplikace tohoto typu určené profesionálům a odborníkům na síťový provoz, AFWall+ jde opačnou cestou – orientuje se na nenáročné uživatele. Jeho hlavní funkcí je zakázání/povolení přístupu k Internetu a omezení připojení pouze na mobilní konektivitu či naopak jen přes Wi-Fi.

Uživatelské prostředí je prosté a snadno pochopitelné – základem je seznam programů, ve kterém lze zatržítky povolit/zakázat přístup k síti. Ve snazší orientaci pomáhá i poměrně povedený překlad do češtiny. Spíše než o pokročilý firewall jde ale o aplikaci, která povoluje či zakazuje přístup vybraných programů k Internetu.

Kritizovat můžeme patrně jen jednu vlastnost: aplikace neumí režim “nechť rozhodne uživatel”. Pokud se tedy některý program pokusí přistoupit k síti, nezobrazí dialogové okno s dotazem, zda mu to povolíte/zakážete, ale striktně se drží výchozího nastavení (tj. v režimu White list přístup zakazuje). Alespoň, že uživatele upozorňuje skrze oznamovací lištu, že by bylo vhodné podívat se na nastavení po instalaci nové aplikace. Drobnou výtku také musíme mít k “přetékajícím” tlačítkům v uživatelském rozhraní.

Během týdenního testování jsme nezaznamenali žádný problém, který by stál za zmínku – provoz firewallu se nepodepisoval (a pokud ano, tak ne výrazně) na spotřebě baterie, ani jsme neměli (subjektivní) pocit zpomalení systému nebo přenosu dat. Své dojmy jsme se ale rozhodli otestovat pomocí aplikace DSL.cz. Provedli jsme pět měření se zapnutým firewallem a pět s vypnutým, přičemž telefon byl připojen přes mobilní data. Nejhorší a nejlepší výsledek jsme škrtli, ze zbylých tří pak spočítali průměr. V případě zapnutého firewallu byla průměrná naměřená hodnota 2,62 Mbit/s. S vypnutým firewallem byl výsledek 2,70 Mbit/s, což víceméně potvrzuje naše slova, že AFWall+ nijak zásadně nezpomaluje datové přenosy.

Aplikaci, která je k dispozici zdarma, si zatím stáhlo více než 50 tisíc uživatelů a její průměrná známka v Obchodě Play je 4,4. Instalační balíček velký 3,5 MB vyžaduje Android 2.2 a vyšší.

Spokojený uživatel Jan Novák ke svému hodnocení pěti hvězdičkami napsal komentář: “100x lepší než ty staré zabugované jako např. DroidWall, tohle si z něho sice bere příklad, ale zcela to vylepšuje.” Podobně to vidí také Jirka Dittrich: “Pro mne zatím nejkvalitnější firewall na droid.”

AFWall+ (Android Firewall +)
Verze1.3.0.2
Velikost3,5 MB
2.2+


Zdarma

Komentáře

PavelŽ

PavelŽ

10.4.2014 6:49

AFWall+ jsem nějakou dobu provozoval, ale nebyl jsem s ním úplně spokojený. Občas povolil přístup na internet i programům, u kterých jsem to zakázal. Jeho funkci převzal skvělý XPrivacy k mojí plné spokojenosti.

ondra

ondra

z aplikace
10.4.2014 7:09

jelikoz to vyzaduje root tak ke to k nicemu.

Kůrovec

Kůrovec

10.4.2014 8:21

Jak komu Ondro ;)

jan

jan

z aplikace
10.4.2014 8:27

Kdo se rad stoura v telefonu tak pro nej je root nezbytnosti a dnes uz se daji koupit i nove mobily s rootem kdyby se nekdo bal ze muze mit problem se zarukou,pritelkyne takovy ma,ale ani si toho jeste nevsimla :)

Tom

Tom

z aplikace
10.4.2014 9:42

Noroot firewall. Jediné tenhle program mě přesvědčil. A není potřeba root a je zdarma. A to root mám.

Alec

Alec

10.4.2014 10:50

AFWall+ vyzkousim. Pouzivam Avast, ale ma zbytecne moc funkci, na to, ze to pouzivam jen jako firewall.
Samozrejme k tomu zaroven pouzivam XPrivacy.

To PavelŽ: Už se mi i stalo, že aplikačka, které jsem omezil přístup přes XPrivacy padala a když jsem jí síť zakázal jen firewallem, tak makala dobře.

MartinGale

MartinGale

10.4.2014 11:40

Používám léta Droidwall, a tahle apka jako by mu z oka vypadla.

ondra

ondra

z aplikace
10.4.2014 12:04

Rootlej tel z vyroby prosim proc ne ale rootovat si telefon sam uz nikdy. jednou sem to udelal pote odesla zakladni deska zaruka neuznana kuli rootu a oprava stala 5000,-

Pedro1

Pedro1

10.4.2014 12:27

MartinGale
No Droidwall byl dobry firewall, ale bohuzel neni od prosince 2011 dale vyvijen. Afwall+ je jeho nastupce.

Pedro1

Pedro1

10.4.2014 12:28

Edit: zatim spokojenost :).

Magu

Magu

10.4.2014 15:00

ondra: zajímavé, já jsem reklamoval rootnutý telefon ZTE Blade (ten je bez rootu téměř nepoužitelný :D) u kterého odešla deska a reklamaci normálně uznali a vrátili mi peníze.

Cm

Cm

10.4.2014 15:13

Tak jsem ho dal na telefon a vypadá to dobře. Na tabletu mám Droidwall a asi ho časem taky nahradím. Díky za tip.

Luke

10.4.2014 17:55

Avast umí to samé ne? Recenzi jsem nečetl, ale základní fce, jako zamezovat přístup jednotlivým aplikacím, apod má taktéž, či?

Duk

Duk

10.4.2014 22:30

tak tento FW jsem taky pouzival az jsem jednou zjistil ze utikaji data… pomoci Network Info II jsem zjistil ze mi ukazal verejnou IP presto mel zakazan pristup. tak jsem hledal kterym FW neprojde, no neprosel Droidwall takze vyhral a zustal v tel. i zduvodu ze byl maly. nakonec jsem zjistil ze diru do netu dela povoleni (Any application)…

max

max

11.4.2014 5:55

ondra:

Člověče, než něco napíšeš, tak si dobře promysli co napíšeš !
Pokud ti odešla základní deska jak tvrdíš, tak ti nikdy nemohli přijít na to, že byl telefon rootmutý !!!! Nevymýšlej si blbosti.

Jarda

Jarda

11.4.2014 10:48

Neni mi jasne, jak muze firewall fungovat bez rootu. Pokud vim, aplikace maji dost striktne oddeleny pristup ke zdrojum. Takze noroot fw muze fungovat dobre jako placebo, ale urcite ne jako firewall ;-)

MartinGale

MartinGale

11.4.2014 13:35

@Duk: no to je divné, že pokud povolíš přístup Any application (=jakékoliv aplikaci), že se potom na Net připojí jakákoliv aplikace :D

Roman

Roman

z aplikace
12.4.2014 8:01

Už i tady se straší s win xp.

capa

capa

13.4.2014 10:34

@Jarda – noRoot Firewall funguje na principu vlastní VPN, kterou to vytvoří a skrze ní to teprve potom povoluje/zakazuje přístup app a vysílání dat. Nejsem si jist, jestli to funguje na 100%, ale cokoliv u mě chce přístup na net, tak se ptá a když zamítnu, tak některé programy prostě nejdou, nebo se nestahujou reklamy atd. Takže funguje ;)

RSS (komentáře k článku)