Ich bin über den Artikel Heimnetzwerk auf Avahi aufmerksam geworden. Ich finde den Artikel etwas irreführend - zumindest mal für Neulinge.

Einerseits ist Avahi eine Zeroconf-Dienst und andererseits beschäftigt sich der Artikel zu mehr als der Hälfte damit, wie man den Dienst startet, konfiguriert usw.. Nicht dass man das nicht erklären sollte, aber ich würde das in einen gesonderten Artikel "Avahi konfigurieren" oder ähnlich auslagern und dafür etwas ausführlicher darauf eingehen, wie der Anwender denn nun den Dienst nutzende Anwendungen im Netz benutzt.

Eigentlich soll ja der Sinn sein, dass ich mich um nichts mehr kümmere und nur in meiner Anwendung dies und das mache, um dann die automatische Avahi-Vernentzung zu nutzen.

Eine weitere Möglichkeit wäre, dass man die anwendungsspezifischen Erklärungen in etwas ausführlicherer Form in der jeweiligen Anwendung abhandelt, dort dann als Rubrik "Avahi" oder ähnlich.

Ich denke halt, dass sowas wie Avahi ja auch gerade für "Einsteiger" konzipiert ist und für die wird aus dem Artikel letztlich nicht ganz klar, was zu tun ist. Da ist dann die Tabelle mit den Anwendunge etwas knapp mit Erklärungen.

Lange Rede kurzer Sinn: Die Inhalte sind schon richtig und wichtig, aber die Gewichtung finde ich gerade falsch herum.

Gruß, Martin

Avahi ist standardmäßig aktiviert und sinnvoll konfiguriert. Von daher ist normalerweise überhaupt keine Änderung am System notwendig.

Ich stimme mit Dir überein, dass diese Tatsache am Begin des Artikels deutlich(er?) hervorgehoben werden sollte. Fer Rest des Artikels ist nur für diejenigen gedacht, die sich tiefer mit dem System beschäftigen wollen.

Außerdem wäre zu Beginn des Artikels auch ein Anwendungsbeispiel nett.

Ein Missverständnis könnte auch sein, dass man meint, Avahi allein würde die "Verbindung" zwischen Rechnern ermöglichen. Dazu sind aber eben andere Dienste (Samba, ssh, ...) notwendig. Avahi erleichtert nur die "Adressierung". Der "andere" Rechner heißt eben nicht einfach nur 192.168.1.X, sondern "laptop.local".

Newubunti schrieb:

Ich denke halt, dass sowas wie Avahi ja auch gerade für "Einsteiger" konzipiert ist und für die wird aus dem Artikel letztlich nicht ganz klar, was zu tun ist. Da ist dann die Tabelle mit den Anwendunge etwas knapp mit Erklärungen.

Avahi ist nicht unbedingt (nur) für Einsteiger gedacht, die nicht wissen wie man ein Netz anderweitig konfiguriert, sondern für Ad-hoc-Netze allgemein. Das dient auch Fortgeschrittenen und Profis, wenn sie sich z.B. zu einer Tagung treffen und nicht erstmal darüber verhandeln wollen, welches Subnetz sie benutzen, wer den DNS-Server aufsetzt, und unter welcher IP die Daten bereitgestellt werden.

Mir ist gerade aufgefallen, dass im Artikel zu Avahi unter Avahi und Netzwerkports die Ports 5353 und 32768 genannt werden. Bei mir (Intrepid) hängt Avahi aber an den Ports 5353 und 43823. Kann das mal jemand vergleichen?

benben schrieb:

Mir ist gerade aufgefallen, dass im Artikel zu Avahi unter Avahi und Netzwerkports die Ports 5353 und 32768 genannt werden. Bei mir (Intrepid) hängt Avahi aber an den Ports 5353 und 43823.

Danke für den Hinweis. Hab die Stelle im Artikel etwas umgeschrieben.

Gern geschehen.

Nun bleibt noch eine gute Lösung für das Firewall-Problem. So einen riesigen Bereich freigeben ist natürlich unangenehm. Kann man das bei iptables auch gezielt für einen Prozess machen?

benben schrieb:

Nun bleibt noch eine gute Lösung für das Firewall-Problem. So einen riesigen Bereich freigeben ist natürlich unangenehm. Kann man das bei iptables auch gezielt für einen Prozess machen?

Was für ein Problem? Avahi/Zeroconf funktioniert nur in Broadcastfähigen Netzen und ist somit aus dem Internet nicht ansprechbar. Des weiteren was willst du da mit einer Firewall...

Hallo,

Kann man das bei iptables auch gezielt für einen Prozess machen?

Es gehört nicht direkt zum Thema, aber, ja, iptables kann man gezielt Ports freigeben. Was du als Prozess bezeichnest ist ein Dienst. Dienst-basierte arbeitet zumindetest teilweise ufw.

Bleibt trotzdem die Frage nach dem Sinn, wie chrissss richtig sagt...

Gruß, noisefloor

Chrissss schrieb:

Was für ein Problem? Avahi/Zeroconf funktioniert nur in Broadcastfähigen Netzen und ist somit aus dem Internet nicht ansprechbar.

Wie sieht das mit den Anwendungen aus, die Zeroconf-"Fähigkeiten" haben, z.B. Pidgin. Wenn ich bei Pidgin ein Bonjour-Konto anlege, nimmt es sich einen Port und wartet dort auf Verbindungen:

tcp        0      0 *:5298                  *:*                     LISTEN      benny      416782      13446/pidgin 

Ich hätte eigentlich erwartet, das es irgendwie über den Avahi-Dienst geht und Pidgin das nicht selbstständig wird. Z.B., dass eingehende Nachrichten an den Avahi-Dienst gehen und von dort weiter an Pidgin. Denn so wie es jetzt aussieht, muß ich mich auf Pidgin in punkto Sicherheit verlassen, nicht auf Avahi. Gleiches gilt für die Erreichbarkeit. Das selbe habe ich bei Rythembox mit DAAP auch festgestellt. Avahi scheint nur die Ankündigung der eigenen Dienste und Entdeckung fremder Dienste zu organisieren. Mit iptables könnte man nun etwas Kontrolle ausüben, wenn klar/vorhersehbar wäre, um welche Ports es geht.

noisefloor schrieb:

Dienst-basierte arbeitet zumindetest teilweise ufw.

Ich habe das Wiki zu ufw gelesen und mir mal /etc/ufw/applications.d/apache2.2-common angeschaut. Bei den Einstellungen der Dienste, hier Apache, wurden auch vorher Ports angegeben, die ja auch bekannt sind. Zerokonf-Anwendungen, die sich Ports aus dem o.g. Bereich nehmen, ließen sich so nicht einschränken, da ja wieder das Vorwissen fehlt. Oder gibt es da eine Aufstellung? Ist Pidgin/iChatPresence immer Port 5298?

So sehe ich das: Über den Port 5298 "kommuniziert" dass XMPP-Protokoll (Jabber). Das hat mit Avahi nichts zu tun. Avahi ist nur da, um "andere" zu finden, nicht aber um mit diesen eine Verbindung aufzubauen.

Hm, verstehe. Das wäre ja auch wieder schön nachvollziehbar.

Allerdings ist die Verbindung an Port 5298 dezidiert nur für das Bonjour-Konto in Pidgin. Deaktiviere ich es, verschwindet auch sofort die Bindung an diesen Port. Über die ganze Zeit bin ich aber auch mit einem XMPP-Server, MSN und ICQ verbunden. Das sind dann aber auch dauerhafte Verbindungen zu den jeweiligen Server (und tauchen bei netstat -tulpe auch nicht auf). Bei Port 5298 hängt Pidgin "selbstständig" und wartet auf eingehende Verbindungen, wie Apache an Ports 80 und 443. Pidgin (mit Bonjour-Konto) verhält sich da also wie ein Server, andere Anwendungen mit Zeroconf-Funktionen wahrscheinlich ähnlich.

In Punkto Firewall ist das dann aber wieder besser, da man ja nur beobachten muß, welche Ports sich eine Anwendung für die Kommunikation nimmt und dann diese öffnen kann.

Du liegst da wohl ganz richtig. Und "Bonjour" scheint auch nichts mit XMPP zu tun haben...

Moin,

in neueren Kubuntus (9.10--10.04) ist enable-dbus=yes in /etc/avahi/avahi-daemon.conf per default auskommentiert. Wie sieht es in anderen Derivaten wie Xubuntu aus? Oder ist diese Option generell ab Karmic geändert wurde (Artikel ist nur bis 9.04 getestet)?

Ich vermute dass man diese Option gar nicht mehr braucht. Chatten via Gajim und Bonjour klappt auch ohne das Bearbeiten der Option (was früher nötig war).

Ich hatte den Artikel so verstanden, dass ab 9.04 die Option per default nicht mehr auskommentiert ist und es deswegen sofort funktioniert.

Wichtig ist hier die Option "enable-dbus". Damit ermöglicht man es Avahi, über den D-Bus mit anderen Programmen zu kommunizieren. Dies ist beispielsweise für Gajim wichtig. Mindestens ab Ubuntu Jaunty Jackalope 9.04 ist die Option von Haus aus aktiviert, unter älteren Versionen oder auch bei Derivaten wie Kubuntu muss dies bei Bedarf einkommentiert werden.

Wenn die Option ab 9.10 generell nicht mehr nötig ist und wieder per default auskommentiert ist (hab gerade kein "frisches" 9.10 Ubuntu da), können wir den Abschnitt anpassen (z.B. s.u.) und dem Artikel ein 9.10 getestet Tag verpassen, oder?

Wichtig ist hier die Option "enable-dbus". Damit ermöglicht man es Avahi, über den D-Bus mit anderen Programmen zu kommunizieren. Dies ist beispielsweise für Gajim wichtig. In Ubuntu Jaunty Jackalope 9.04 ist die Option von Haus aus aktiviert, bei späteren Versionen wird sie nicht mehr benötigt. Unter älteren Versionen muss diese Option bei Bedarf einkommentiert werden.