|
Ehemaliger
Anmeldungsdatum: Beiträge: 28316 |
Hallo,
Es gehört nicht direkt zum Thema, aber, ja, iptables kann man gezielt Ports freigeben. Was du als Prozess bezeichnest ist ein Dienst. Dienst-basierte arbeitet zumindetest teilweise ufw. Bleibt trotzdem die Frage nach dem Sinn, wie chrissss richtig sagt... Gruß, noisefloor |
Anmeldungsdatum: Beiträge: 294 |
Chrissss schrieb:
Wie sieht das mit den Anwendungen aus, die Zeroconf-"Fähigkeiten" haben, z.B. Pidgin. Wenn ich bei Pidgin ein Bonjour-Konto anlege, nimmt es sich einen Port und wartet dort auf Verbindungen: tcp 0 0 *:5298 *:* LISTEN benny 416782 13446/pidgin Ich hätte eigentlich erwartet, das es irgendwie über den Avahi-Dienst geht und Pidgin das nicht selbstständig wird. Z.B., dass eingehende Nachrichten an den Avahi-Dienst gehen und von dort weiter an Pidgin. Denn so wie es jetzt aussieht, muß ich mich auf Pidgin in punkto Sicherheit verlassen, nicht auf Avahi. Gleiches gilt für die Erreichbarkeit. Das selbe habe ich bei Rythembox mit DAAP auch festgestellt. Avahi scheint nur die Ankündigung der eigenen Dienste und Entdeckung fremder Dienste zu organisieren. Mit iptables könnte man nun etwas Kontrolle ausüben, wenn klar/vorhersehbar wäre, um welche Ports es geht. noisefloor schrieb:
Ich habe das Wiki zu ufw gelesen und mir mal /etc/ufw/applications.d/apache2.2-common angeschaut. Bei den Einstellungen der Dienste, hier Apache, wurden auch vorher Ports angegeben, die ja auch bekannt sind. Zerokonf-Anwendungen, die sich Ports aus dem o.g. Bereich nehmen, ließen sich so nicht einschränken, da ja wieder das Vorwissen fehlt. Oder gibt es da eine Aufstellung? Ist Pidgin/iChatPresence immer Port 5298? |
|
Ehemalige
Anmeldungsdatum: Beiträge: 6018 |
So sehe ich das: Über den Port 5298 "kommuniziert" dass XMPP-Protokoll (Jabber). Das hat mit Avahi nichts zu tun. Avahi ist nur da, um "andere" zu finden, nicht aber um mit diesen eine Verbindung aufzubauen. |
|
Anmeldungsdatum: Beiträge: 294 |
Hm, verstehe. Das wäre ja auch wieder schön nachvollziehbar. Allerdings ist die Verbindung an Port 5298 dezidiert nur für das Bonjour-Konto in Pidgin. Deaktiviere ich es, verschwindet auch sofort die Bindung an diesen Port. Über die ganze Zeit bin ich aber auch mit einem XMPP-Server, MSN und ICQ verbunden. Das sind dann aber auch dauerhafte Verbindungen zu den jeweiligen Server (und tauchen bei netstat -tulpe auch nicht auf). Bei Port 5298 hängt Pidgin "selbstständig" und wartet auf eingehende Verbindungen, wie Apache an Ports 80 und 443. Pidgin (mit Bonjour-Konto) verhält sich da also wie ein Server, andere Anwendungen mit Zeroconf-Funktionen wahrscheinlich ähnlich. In Punkto Firewall ist das dann aber wieder besser, da man ja nur beobachten muß, welche Ports sich eine Anwendung für die Kommunikation nimmt und dann diese öffnen kann. |
|
Ehemalige
Anmeldungsdatum: Beiträge: 6018 |
Du liegst da wohl ganz richtig. Und "Bonjour" scheint auch nichts mit XMPP zu tun haben... |
Anmeldungsdatum: Beiträge: 4597 |
Moin, in neueren Kubuntus (9.10--10.04) ist enable-dbus=yes in /etc/avahi/avahi-daemon.conf per default auskommentiert. Wie sieht es in anderen Derivaten wie Xubuntu aus? Oder ist diese Option generell ab Karmic geändert wurde (Artikel ist nur bis 9.04 getestet)? |
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 37971 |
Ich vermute dass man diese Option gar nicht mehr braucht. Chatten via Gajim und Bonjour klappt auch ohne das Bearbeiten der Option (was früher nötig war). |
|
Anmeldungsdatum: Beiträge: 4597 |
Ich hatte den Artikel so verstanden, dass ab 9.04 die Option per default nicht mehr auskommentiert ist und es deswegen sofort funktioniert.
Wenn die Option ab 9.10 generell nicht mehr nötig ist und wieder per default auskommentiert ist (hab gerade kein "frisches" 9.10 Ubuntu da), können wir den Abschnitt anpassen (z.B. s.u.) und dem Artikel ein 9.10 getestet Tag verpassen, oder?
|
|
Ehemalige
Anmeldungsdatum: Beiträge: 4259 |
http://wiki.ubuntuusers.de/Avahi?highlight=Pw%20Tbaustell%20Zdapp#Anwendungen hier sind etliche veraltete Verweise drin Könnte das mal Jemand aktualisieren? Danke |
Anmeldungsdatum: Beiträge: 4763 |
Habe ich auf der Liste, würde mich aber freuen, wenn sich jemand anderes darum kümmert. Meine Notizen dazu:
Gruß, cornix |
|
Anmeldungsdatum: Beiträge: Zähle... |
Der Link im Abschnitt "Avahi und Windows" (http://support.apple.com/downloads/Bonjour_for_Windows) führt nur zum Download zu "Bonjour Print Services for Windows". Ist das so richtig oder leitet Apple mich zu einem anderem Produkt weiter? |
|
Anmeldungsdatum: Beiträge: 14259 |
Scheint korrekt zu sein - siehe Wikipedia |
|
Anmeldungsdatum: Beiträge: Zähle... |
Okay, hat sich geklärt. Ich fand es nur komisch, dass auf eine Seite mit "Drucktreibern" verlinkt zu werden. |
Anmeldungsdatum: Beiträge: 2145 |
Ich habe gerade eine recht interessante Beobachtung zum Thema gemacht: http://forum.ubuntuusers.de/topic/achtung-bei-linux-guests-in-vbox-mit-nat-netwo/. Sollte man das nicht hier wenigstens als Hinweis anfügen? Ist mE auch ein Grund, avahi abzuschalten? Ingo |
|
Ehemaliger
Anmeldungsdatum: Beiträge: 28316 |
Hallo, vielleicht nicht gerade abschalten, aber das Problem kannst du im Artikel IMHO beschreiben. Wenn du eine Baustelle brauchst bitte melden. Gruß, noisefloor |
