noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28316
|
Hallo,
Kann man das bei iptables auch gezielt für einen Prozess machen?
Es gehört nicht direkt zum Thema, aber, ja, iptables kann man gezielt Ports freigeben. Was du als Prozess bezeichnest ist ein Dienst. Dienst-basierte arbeitet zumindetest teilweise ufw. Bleibt trotzdem die Frage nach dem Sinn, wie chrissss richtig sagt... Gruß, noisefloor
|
benben
Anmeldungsdatum: 16. April 2006
Beiträge: 294
|
Chrissss schrieb: Was für ein Problem? Avahi/Zeroconf funktioniert nur in Broadcastfähigen Netzen und ist somit aus dem Internet nicht ansprechbar.
Wie sieht das mit den Anwendungen aus, die Zeroconf-"Fähigkeiten" haben, z.B. Pidgin.
Wenn ich bei Pidgin ein Bonjour-Konto anlege, nimmt es sich einen Port und wartet dort auf Verbindungen:
tcp 0 0 *:5298 *:* LISTEN benny 416782 13446/pidgin
Ich hätte eigentlich erwartet, das es irgendwie über den Avahi-Dienst geht und Pidgin das nicht selbstständig wird. Z.B., dass eingehende Nachrichten an den Avahi-Dienst gehen und von dort weiter an Pidgin. Denn so wie es jetzt aussieht, muß ich mich auf Pidgin in punkto Sicherheit verlassen, nicht auf Avahi. Gleiches gilt für die Erreichbarkeit. Das selbe habe ich bei Rythembox mit DAAP auch festgestellt.
Avahi scheint nur die Ankündigung der eigenen Dienste und Entdeckung fremder Dienste zu organisieren.
Mit iptables könnte man nun etwas Kontrolle ausüben, wenn klar/vorhersehbar wäre, um welche Ports es geht. noisefloor schrieb: Dienst-basierte arbeitet zumindetest teilweise ufw.
Ich habe das Wiki zu ufw gelesen und mir mal /etc/ufw/applications.d/apache2.2-common angeschaut. Bei den Einstellungen der Dienste, hier Apache, wurden auch vorher Ports angegeben, die ja auch bekannt sind. Zerokonf-Anwendungen, die sich Ports aus dem o.g. Bereich nehmen, ließen sich so nicht einschränken, da ja wieder das Vorwissen fehlt. Oder gibt es da eine Aufstellung? Ist Pidgin/iChatPresence immer Port 5298?
|
DrScott
Ehemalige
Anmeldungsdatum: 7. Juli 2005
Beiträge: 6018
|
So sehe ich das: Über den Port 5298 "kommuniziert" dass XMPP-Protokoll (Jabber). Das hat mit Avahi nichts zu tun. Avahi ist nur da, um "andere" zu finden, nicht aber um mit diesen eine Verbindung aufzubauen.
|
benben
Anmeldungsdatum: 16. April 2006
Beiträge: 294
|
Hm, verstehe. Das wäre ja auch wieder schön nachvollziehbar. Allerdings ist die Verbindung an Port 5298 dezidiert nur für das Bonjour-Konto in Pidgin. Deaktiviere ich es, verschwindet auch sofort die Bindung an diesen Port. Über die ganze Zeit bin ich aber auch mit einem XMPP-Server, MSN und ICQ verbunden. Das sind dann aber auch dauerhafte Verbindungen zu den jeweiligen Server (und tauchen bei netstat -tulpe auch nicht auf). Bei Port 5298 hängt Pidgin "selbstständig" und wartet auf eingehende Verbindungen, wie Apache an Ports 80 und 443. Pidgin (mit Bonjour-Konto) verhält sich da also wie ein Server, andere Anwendungen mit Zeroconf-Funktionen wahrscheinlich ähnlich. In Punkto Firewall ist das dann aber wieder besser, da man ja nur beobachten muß, welche Ports sich eine Anwendung für die Kommunikation nimmt und dann diese öffnen kann.
|
DrScott
Ehemalige
Anmeldungsdatum: 7. Juli 2005
Beiträge: 6018
|
Du liegst da wohl ganz richtig. Und "Bonjour" scheint auch nichts mit XMPP zu tun haben...
|
HmpfCBR
Anmeldungsdatum: 22. Mai 2007
Beiträge: 4597
|
Moin, in neueren Kubuntus (9.10--10.04) ist enable-dbus=yes in /etc/avahi/avahi-daemon.conf per default auskommentiert. Wie sieht es in anderen Derivaten wie Xubuntu aus? Oder ist diese Option generell ab Karmic geändert wurde (Artikel ist nur bis 9.04 getestet)?
|
Chrissss
(Themenstarter)
Anmeldungsdatum: 31. August 2005
Beiträge: 37971
|
Ich vermute dass man diese Option gar nicht mehr braucht. Chatten via Gajim und Bonjour klappt auch ohne das Bearbeiten der Option (was früher nötig war).
|
HmpfCBR
Anmeldungsdatum: 22. Mai 2007
Beiträge: 4597
|
Ich hatte den Artikel so verstanden, dass ab 9.04 die Option per default nicht mehr auskommentiert ist und es deswegen sofort funktioniert.
Wichtig ist hier die Option "enable-dbus". Damit ermöglicht man es Avahi, über den D-Bus mit anderen Programmen zu kommunizieren. Dies ist beispielsweise für Gajim wichtig. Mindestens ab Ubuntu Jaunty Jackalope 9.04 ist die Option von Haus aus aktiviert, unter älteren Versionen oder auch bei Derivaten wie Kubuntu muss dies bei Bedarf einkommentiert werden.
Wenn die Option ab 9.10 generell nicht mehr nötig ist und wieder per default auskommentiert ist (hab gerade kein "frisches" 9.10 Ubuntu da), können wir den Abschnitt anpassen (z.B. s.u.) und dem Artikel ein 9.10 getestet Tag verpassen, oder?
Wichtig ist hier die Option "enable-dbus". Damit ermöglicht man es Avahi, über den D-Bus mit anderen Programmen zu kommunizieren. Dies ist beispielsweise für Gajim wichtig. In Ubuntu Jaunty Jackalope 9.04 ist die Option von Haus aus aktiviert, bei späteren Versionen wird sie nicht mehr benötigt. Unter älteren Versionen muss diese Option bei Bedarf einkommentiert werden.
|
frustschieber
Ehemalige
Anmeldungsdatum: 4. Januar 2007
Beiträge: 4259
|
http://wiki.ubuntuusers.de/Avahi?highlight=Pw%20Tbaustell%20Zdapp#Anwendungen hier sind etliche veraltete Verweise drin Könnte das mal Jemand aktualisieren? Danke
|
cornix
Anmeldungsdatum: 9. März 2007
Beiträge: 4763
|
Habe ich auf der Liste, würde mich aber freuen, wenn sich jemand anderes darum kümmert. Meine Notizen dazu:
Gruß, cornix
|
ubuntu-maverick
Anmeldungsdatum: 26. November 2010
Beiträge: Zähle...
|
Der Link im Abschnitt "Avahi und Windows" (http://support.apple.com/downloads/Bonjour_for_Windows) führt nur zum Download zu "Bonjour Print Services for Windows". Ist das so richtig oder leitet Apple mich zu einem anderem Produkt weiter?
|
aasche
Anmeldungsdatum: 30. Januar 2006
Beiträge: 14259
|
ubuntu-maverick schrieb: Der Link im Abschnitt "Avahi und Windows" (http://support.apple.com/downloads/Bonjour_for_Windows) führt nur zum Download zu "Bonjour Print Services for Windows". Ist das so richtig oder leitet Apple mich zu einem anderem Produkt weiter?
Scheint korrekt zu sein - siehe Wikipedia
|
ubuntu-maverick
Anmeldungsdatum: 26. November 2010
Beiträge: Zähle...
|
Okay, hat sich geklärt. Ich fand es nur komisch, dass auf eine Seite mit "Drucktreibern" verlinkt zu werden.
|
ingo2
Anmeldungsdatum: 15. Juni 2007
Beiträge: 2145
|
Ich habe gerade eine recht interessante Beobachtung zum Thema gemacht: http://forum.ubuntuusers.de/topic/achtung-bei-linux-guests-in-vbox-mit-nat-netwo/. Sollte man das nicht hier wenigstens als Hinweis anfügen? Ist mE auch ein Grund, avahi abzuschalten? Ingo
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28316
|
Hallo, vielleicht nicht gerade abschalten, aber das Problem kannst du im Artikel IMHO beschreiben. Wenn du eine Baustelle brauchst bitte melden. Gruß, noisefloor
|